Gambaran teknis dalam 24 jam pertama: seberapa cepat penyerang menghitung dan menargetkan aset yang baru terekspos
Ditulis oleh Topher Lyons – Keamanan Sprocket
Saat aset baru mendapatkan alamat IP publik, jam dimulai. Bukan yang lambat. Yang tanpa henti dan otomatis. Jarak antara “ini baru saja ditayangkan” dan “ini sedang diselidiki secara aktif” hanya dalam hitungan menit, bukan hari.
Itu tidak teoretis. Dengan bantuan kami Edisi Komunitas ASMitulah yang terus-menerus dilihat oleh Sprocket Security di seluruh lingkungan pelanggan, dan itulah yang diandalkan oleh penyerang: tim Anda tidak akan mengetahui ada sesuatu yang terekspos sampai semuanya sudah terlambat.
24 Jam Pertama: Garis Waktu Teknis
T+0: Aset ditayangkan.
Pengembang mendorong instance cloud baru. Aturan firewall yang salah dikonfigurasi akan membuka port. Portal vendor muncul di subdomain yang tidak ditandai oleh siapa pun. Apa pun penyebabnya, titik akhir baru yang dapat dirutekan internet kini sudah ada, dan keamanan tidak mendapat pemberitahuan.
T+5 hingga T+60 menit: Pemindai menemukannya.
Infrastruktur pemindaian otomatis menyapu seluruh internet publik secara terus-menerus. Shodan, Censys, ShadowServer, dan lainnya mengindeks host baru secara bergiliran (Censys sendiri mencakup puluhan ribu port).
Dalam waktu satu jam, port terbuka aset Anda telah dikatalogkan, informasi banner diambil (versi server web, sertifikat TLS, sidik jari SSH), dan tanda tangan respons dibandingkan dengan database kerentanan yang diketahui.
T+1 s/d T+6 jam : Pencacahan dimulai.
Sekarang aset Anda muncul di kueri Shodan dan Censys. Perkakas serangan otomatis memulai pengintaiannya sendiri: mencari versi layanan, port manajemen terbuka (RDP pada 3389, SSH pada 22, panel admin pada 8080/8443), dan sertifikat TLS yang berputar ke domain dan subdomain terkait.
Jika aset baru Anda memiliki sertifikat, penyerang dapat belajar banyak tentang infrastruktur Anda yang lebih luas tanpa pernah menyentuh sesuatu yang Anda tonton.
T+6 hingga T+12 jam: Probing aktif.
Penemuan pasif beralih ke penargetan aktif. Data GreyNoise menunjukkan lonjakan aktivitas pemindai di jendela ini. Pengisian kredensial dimulai dengan SSH dan RDP. Layanan web mulai terkena pemaksaan direktori. Basis data seperti Elasticsearch dan Redis diperiksa karena aksesnya yang tidak diautentikasi. Kerangka kerja diuji terhadap CVE yang dikenal.
Semua ini tidak memerlukan manusia untuk memulainya. Botnet menanganinya dalam skala besar, sepanjang waktu.
T+12 hingga T+24 jam: Kompromi.
Peneliti Unit 42 menyebarkan 320 honeypot di seluruh penyedia cloud (RDP, SSH, SMB, Postgres) untuk melihat apa yang akan terjadi. 80% dikompromikan dalam waktu 24 jam.
Untuk apa pun yang berjalan dengan kerentanan yang dapat dieksploitasi, kesalahan konfigurasi, atau kredensial default, hanya itu yang diperlukan untuk beralih dari “ini baru saja ditayangkan” menjadi “ini sudah dimiliki.”
Contoh Dunia Nyata: API Tersembunyi yang Tidak Diketahui Siapa Pun
Garis waktu di atas mengasumsikan Anda tahu apa yang diekspos. Beberapa eksposur yang paling berbahaya adalah aset yang tidak diketahui oleh tim Anda dan bersifat publik, dan jalur untuk menemukannya persis seperti yang digunakan penyerang.
Dengan temuan baru-baru ini, ASM menandai aplikasi web logistik yang dapat dilihat publik dan, sebagai bagian dari penghitungan URL, menarik dan menganalisis kumpulan JavaScript terkompilasi yang disajikan ke browser.
Terkubur dalam file JS itu adalah referensi ke API backend. Tidak ada dalam inventaris aset apa pun. Bukan sesuatu yang diungkapkan secara eksplisit oleh siapa pun. Tapi hidup, umum, dan sepenuhnya terbuka.
Penguji manusia menjalankan permintaan yang sama dengan yang dilakukan penyerang:
curl -s 'https://logisticsapi.[redacted].com/Logistics/api/customernotes/2631' | jq
Server merespons. Tanpa token, tanpa kredensial.
Dengan melakukan iterasi melalui ID titik akhir, penguji menarik:
- Nama pelanggan, alamat email, dan catatan akun
- Kredensial Cleartext untuk akun pelanggan
- Nama pengguna dan kata sandi perangkat default
- Informasi jaringan internal untuk perangkat yang dikerahkan
- Nama karyawan dan alamat email
Rantai lengkap dari situs web publik hingga analisis JS hingga API tersembunyi hingga dump data yang tidak diautentikasi mencerminkan apa yang dilakukan alat penyerang selama enumerasi. Perbedaannya di sini adalah Sprocket Security sampai di sana terlebih dahulu.
Masalah yang Menimbulkan: Anda Tidak Tahu Apa yang Anda Miliki
Penelitian permukaan serangan Unit 42 menemukan bahwa rata-rata permukaan serangan eksternal organisasi berubah lebih dari 300 layanan baru setiap bulan. Lebih dari 20% layanan cloud yang dapat diakses secara eksternal berubah setiap bulannya.
Tim keamanan tidak mengikuti perkembangannya. Akar permasalahan dalam sebagian besar investigasi pelanggaran berasal dari variasi pernyataan yang sama: “Kami tidak tahu itu ada di internet.”
Aset yang tidak Anda ketahui adalah aset yang tidak dapat Anda tambal, pantau, atau hapus secara offline ketika keadaan tidak berjalan baik. Dan seperti yang ditunjukkan oleh contoh di atas, sering kali hal ini bukanlah sesuatu yang sengaja diterapkan oleh seseorang.
Ini adalah layanan backend yang direferensikan dalam file JavaScript yang tidak terpikirkan oleh siapa pun untuk melihatnya.
Dari Ditemukan hingga Divalidasi: Jalur ASM ke Pentesting
Menemukan API tersembunyi adalah langkah pertama. Mencari tahu apa yang sebenarnya dapat dieksploitasi dan apa dampak bisnis sebenarnya memerlukan perhatian manusia.
Itulah jalur yang dibangun oleh Sprocket Security. Edisi Komunitas ASM terus menghitung permukaan serangan eksternal Anda: menemukan aset, menarik bundel JavaScript, memetakan subdomain, menampilkan apa yang sebenarnya terlihat dari luar jaringan Anda.
Ketika sesuatu yang tidak terduga muncul (API yang tidak boleh dipublikasikan, panel admin yang tidak ditandai oleh siapa pun, sertifikat yang tidak biasa), hal itu langsung dimasukkan ke dalam pengujian yang dipimpin manusia.
Persis seperti itulah contoh temuannya. Pencacahan ASM memunculkan referensi JavaScript. Penguji manusia memvalidasi akses yang tidak diautentikasi, memetakan titik akhir yang terekspos, dan mendokumentasikan paparan data nyata dengan langkah-langkah remediasi yang jelas. Bukan peringatan pemindai. Sebuah temuan nyata.
Penemuan ASM yang berkelanjutan dan dimasukkan ke dalam pengujian yang ditargetkan pada manusia adalah hal yang menutup kesenjangan antara “kami mengira permukaan serangan kami adalah X” dan “inilah yang sebenarnya dilihat oleh penyerang.”
Temukan Aset Anda Sebelum Penyerang Melakukannya
Masalah 24 jam pertama tidak terselesaikan dengan patching yang lebih cepat. Ini diselesaikan dengan mengetahui apa yang Anda miliki sebelum penyerang menemukannya.
Edisi Komunitas Sprocket ASM memberi Anda visibilitas perspektif penyerang yang berkelanjutan ke permukaan serangan eksternal Anda, gratis.
Lihat apa yang terungkap, temukan apa yang tidak Anda ketahui bersifat publik, dan prioritaskan hal yang benar-benar penting.
Jam sudah berjalan.
Disponsori dan ditulis oleh Keamanan Sproket.
