Nieuw onderzoek heeft een aantal kwetsbaarheden aangetoond in verschillende SCP clients, waarbij duidelijk werd dat het secure copy protocol (SCP) niet zo veilig is als men denkt. Door de kwetsbaarheden uit te buiten kunnen indringers een backdoor of andere malware in een bedrijfsnetwerk installeren, vertrouwelijke informatie stelen en na de hack alle mogelijke handelingen uitvoeren die ze maar willen.
In het onderzoek, dat werd uitgevoerd door Harry Sintonen, Senior Security Consultant bij F-Secure, werden de kwetsbaarheden opgespoord in WinSCP, Putty PSCP en OpenSSH. Harry identificeerde de kwetsbaarheden en ontwierp een proof of concept-aanval waarmee hij onopgemerkt bestanden kan (over)schrijven in de doelmap van de SCP client, de toegangsrechten van mappen kan aanpassen en de output van de client kan vervalsen.
‘Veilig betekent niet compleet resistent tegen aanvallen’
De kwetsbaarheden zijn niet de grootste problemen waar systeembeheerders mee te maken hebben (er moet een man-in-the-middle-toegang zijn opgezet voordat de aanval kan
plaatsvinden). Maar het betekent wel dat het ‘secure’-gedeelte van SCP wat minder veilig is dan bedrijven lief is. En Harry zegt dat door dit gebrek aan kennis dergelijke kwetsbaarheden erg nuttig zijn voor black hat-hackers.
“Veilig betekent niet compleet resistent tegen aanvallen en SCP is hierop geen uitzondering. De eerste keer dat gebruikers verbinding maken, dienen zij de identiteit van de host handmatig te verifiëren, waardoor er ruimte ontstaat voor gebruikersfouten. En kwetsbaarheden in SCP-implementaties maken het voor een indringer eenvoudig om bestanden te overschrijven in de doelmap”, legt Harry uit. “Dus als een aanvaller tussen de SCP client en de server kan komen of de client kan misleiden om verbinding te maken met een schadelijke server, bijvoorbeeld door middel van phishing of DNS-spoofing, is het voor hen geen probleem om schadelijke commando’s uit te voeren zonder dat de client het doorheeft.”
SCP werd halverwege de jaren negentig ontworpen om bestanden te versturen tussen apparaten en een netwerk. Daarmee wordt SSH toegevoegd aan het remote copy protocol (ook wel RCP genoemd, het protocol waarop SCP is gebaseerd). Dankzij de extra beveiligingslaag is SCP een veiliger alternatief voor FTP en RCP.
Vandaar dat er ook ‘secure’ staat in de naam.
Gebrekkig inzicht schept kansen voor aanvaller
Hoewel de toevoeging van SSH een vooruitgang betekende, was er met SCP nog geen oplossing gevonden voor alle tekortkomingen van RCP. Gebruikers ontvangen bijvoorbeeld geen waarschuwing van RCP zodra er bestanden worden overschreven. Hetzelfde probleem speelt bij SCP.
Volgens Harry zijn de drempels om een succesvolle hack uit te voeren hoog genoeg om te voorkomen dat aanvallers deze kwetsbaarheden gebruiken voor een soort enorme, opportunistische golf van cybercrime. Maar de aanvaller profiteert van het gebrekkige inzicht dat mensen hebben in het beveiligingsniveau van SCP, en zelfs van SSH. Dus ook al is de aanval niet aantrekkelijk voor opportunistische cybercriminelen, zullen gerichte aanvallers het een effectieve methode vinden om te gebruiken tegen doelen die SCP gebruiken.
“De aanval is alleen succesvol als het slachtoffer de verkeerde vingerafdrukken accepteert. Daarom is het belangrijk dat bedrijven weten dat dit niet iets is wat SCP clients automatisch doen”, vertelt Harry. “Het is iets dat al snel als vanzelfsprekend wordt beschouwd, waardoor het vrijwel niet wordt gecontroleerd. Daarom zullen er aanvallers zijn die dit soort tactieken doeltreffend kunnen gebruiken.”
Harry presenteerde zijn onderzoek en demonstreerde zijn proof of concept-aanval (POC) dit jaar tijdens de Disobey-conferentie in Helsinki. Hij liet de volgende basis-POC aan het publiek zien.
Is opensourcesoftware veilig genoeg voor organisaties?
Harry voerde het onderzoek uit vanwege een professionele interesse in de vraag hoe indringers doelen in gevaar kunnen brengen die vertrouwen op populaire opensourcecomponenten. Veel populaire toepassingen zijn compleet afhankelijk van gratis opensourcesoftware. Normaal gesproken vertrouwen ontwikkelaars onderling op elkaar om open broncode te valideren, wat handig kan zijn voor populaire code.
Maar deze gewoonte is nauwelijks waterdicht te noemen. Door de onthulling van de Heartbleed-bug in 2014 werd er vaart gezet achter de Free and Open Source Software Audit (FOSSA) van de Europese Commissie. Het doel van dit project is om onderdelen van opensourcesoftware die over heel Europa worden gebruikt te documenteren en te beveiligen. Sinds kort biedt de FOSSA ook beloningen aan voor het opsporen van bugs in 15 opensourcesoftwareprojecten.
Deze beloningen gelden helaas niet voor SCP en vele andere software-onderdelen. Maar volgens Harry hoeven we ons geen zorgen te maken.
“Bedrijven zouden OSS-opties juist moeten verwelkomen, maar niet zonder zelf de nodige zorgvuldigheid te hanteren. Zij kunnen de broncode controleren, onderzoeken of de specifieke software in het verleden kritieke kwetsbaarheden heeft vertoond en interne processen opzetten om er zeker van te zijn dat ze op een proactieve manier de softwarebeveiliging monitoren en er actief mee bezig zijn,” zegt Harry. “SCP wordt niet altijd opgemerkt, maar dat is niet ongebruikelijk bij OSS. Bedrijven kunnen zelf maatregelen treffen om ermee aan de slag te gaan.”
Naast het vergroten van bewustwording raadt Harry bedrijven aan om, indien mogelijk, over te gaan op SFTP. Er zijn patches beschikbaar voor bedrijven die zitten opgezadeld met SCP, inclusief een OpenSSH-patch die is ontwikkeld door Harry.
Meer informatie over de patches en kwetsbaarheden is beschikbaar in Harry’s Advisory.
Categorieën