Beim Penetration Test "durchgerasselt"

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
Benutzeravatar
FAjka
Beiträge: 30
Registriert: 13.07.2015 17:00:57

Beim Penetration Test "durchgerasselt"

Beitrag von FAjka » 28.08.2017 10:12:17

Hallo,

wir bieten u.A. Cloud-Dienste für diverse (globale) IT-Konzerne an. Einer dieser Konzerne hat - natürlich nach Rücksprache mit uns - einen Penetration Test durchgeführt.

Das Einzige, was "durchgerasselt" ist, sind unsere Debian-Systeme mit dem exim4:
The SMTP server Exim 4.84.2 contains the following publicly known vulnerabilities: Impact:
Attackers may gain local administrative privileges or conduct arbitrary code execution.

Recommendation:
Update to the latest version of Exim.
Auf den Systemen läuft ein komplett durchaktualisiertes "Jessie" (stable).

Unabhängig von den Sicherheitslücken stellt sich uns jetzt die Frage, wie wir mit den Systemen die Tests bestehen. Die Gedanken, die mir gerade so durch den Kopf gehen:
  • Mailversand komplett in Richtung der Exchange-Infrastruktur auslagern und lokalen MTA deinstallieren
  • lokalen MTA austauschen
  • hochcompilieren und "eigenes" RPM bauen
Debian 9 scheidet aktuell noch aus, da wir Drittanbieterrepositories benutzen, die für Debian 9 noch nicht freigegeben sind. Die gesamte Installation auf die Buster-Backports zu schwenken, empfinde ich als "etwas gewagt".

Eure Gedanken dazu?

Gruß,
Jörg

Edit: Formatierung optimiert.

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: Beim Penetration Test "durchgerasselt"

Beitrag von eggy » 28.08.2017 10:26:04

Wenn ihr wirklich aktuell seid, dann sind die entsprechenden Dinge in Jessie gefixt:

https://www.debian.org/security/2017/dsa-3888
https://www.debian.org/security/2016/dsa-3747
https://www.debian.org/security/2016/dsa-3517

Schau welche Versionen wirklich installiert sind und sprich mit dem Pentester, evtl haben die nicht bedacht, dass die Sachen in Minorversionen gefixt worden sein können.

Benutzeravatar
FAjka
Beiträge: 30
Registriert: 13.07.2015 17:00:57

Re: Beim Penetration Test "durchgerasselt"

Beitrag von FAjka » 28.08.2017 10:36:37

Hallo,
eggy hat geschrieben: ↑ zum Beitrag ↑
28.08.2017 10:26:04
Wenn ihr wirklich aktuell seid, dann sind die entsprechenden Dinge in Jessie gefixt:
Ja, das sind sie. Wie gesagt - es geht eher darum, dem Dienstleister (der die Penetration Tests durchführt) gerade beim Blick durch seinen Test zu "vermitteln", dass die Lücken gefixt sind.

Sprich: Ich möchte nicht nach jedem Test anrufen und diesen Umstand immer wieder auf 's neue erklären müssen.

Ob es jetzt Sinn macht, von der Versionsnummer Rückschlüsse auf die Inhalte zurückzuführen, möchte ich an dieser Stelle weder kommentieren, noch diskutieren. Deshalb die Frage nach der Strategie - es ginge hier also eher um das "wie ginge man mit so etwas um".

Gruß,
Jörg

Benutzeravatar
TRex
Moderator
Beiträge: 8038
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: Beim Penetration Test "durchgerasselt"

Beitrag von TRex » 28.08.2017 10:50:44

Dein Pentester hat sich das Leben leicht gemacht und zieht eben aus der Versionsnummer Rückschlüsse auf geschlossene Lücken. Er bezieht die Debian-Patchlevel dabei nicht ein, und das wird nun zu deinem Problem, weil du dich auf seinen Report verlassen willst und nicht bei jeder Meldung kontrollieren willst, ob das nun eine Ente ist.

Ich sehe zwei Möglichkeiten:

1. Sag deinem Pentester, dass seine Reports ungenau sind (wegen den ignorierten debian-Patches) und fordere, dass er in Zukunft entweder den Exploit testet oder die miteinbezieht
2. Such dir nen neuen Pentester (auch ne Option, falls 1. ignoriert wird).

Wenn du deinem Pentester immer hinterher laufen musst, kannst du den Pentest auch selbst machen (gibt dann eben kein hübsches Papier).
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: Beim Penetration Test "durchgerasselt"

Beitrag von eggy » 28.08.2017 10:54:45

Technische Lösung:
Das .deb aus stable nehmen, entpacken, schauen wo man "hallo hier laeuft version xyz" im src findet, da nen Wert der 500 Jahre in der Zukunft liegt reinschreiben, control anpassen (Version/Maintainer), deb bauen, dpkg -i. Und unbedingt nen Watchdings aufsetzen, dass Dir Bescheid gibt, wenn es ne Sicherheitsaktualisierung in Debian gibt. Damit Dir Dein Eigenbau durch diese völlig sinnfreie Aktion nicht demnächst um die Ohren fliegt. Bei jedem Versionsprung/Sicherheitspatch das ganze von vorne.

Bessere Lösung: Kunden anhand von obrigen Links klarmachen, dass Eure Systeme auf dem aktuellen Stand sind, und die Kompetenz des Dienstleisters evtl in Frage zu stellen sei, wenn er es selbst nach mehrfachem Schriftwechsel nicht gebacken bekommt für die jeweiligen Kisten in der DB ne Ausnahme zu hinterlegen.

owl102

Re: Beim Penetration Test "durchgerasselt"

Beitrag von owl102 » 28.08.2017 11:22:35

eggy hat geschrieben: ↑ zum Beitrag ↑
28.08.2017 10:54:45
Bessere Lösung: Kunden anhand von obrigen Links klarmachen, dass Eure Systeme auf dem aktuellen Stand sind, und die Kompetenz des Dienstleisters evtl in Frage zu stellen sei, wenn er es selbst nach mehrfachem Schriftwechsel nicht gebacken bekommt für die jeweiligen Kisten in der DB ne Ausnahme zu hinterlegen.
Dem schließe ich mich an.

Was mich bei dem ganzen wundert: Debian, RHEL (bzw. CentOS) und SLES sind ja nun nicht gerade exotische Serverbetriebssysteme, und alle diese Distributionen betreiben Backporting von sicherheitsrelevanten Bugs. Wie kann es sein, daß ein Dienstleister dies nicht berücksichtigt?

Benutzeravatar
FAjka
Beiträge: 30
Registriert: 13.07.2015 17:00:57

Re: Beim Penetration Test "durchgerasselt"

Beitrag von FAjka » 28.08.2017 11:29:01

Hallo,
TRex hat geschrieben: ↑ zum Beitrag ↑
28.08.2017 10:50:44
Sag deinem Pentester, dass seine Reports ungenau sind
Den Pentester hat unser Kunde ausgesucht.

Gruß,
Jörg

Benutzeravatar
hikaru
Moderator
Beiträge: 13559
Registriert: 09.04.2008 12:48:59

Re: Beim Penetration Test "durchgerasselt"

Beitrag von hikaru » 28.08.2017 12:46:27

Ich kann eigentlich nichts zum Thema beitragen, wollte aber gern mein Erstaunen darüber ausdrücken, dass ein Thread über solche Art von "Pentests" an einem anderen Datum als dem ersten April entstehen kann.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Beim Penetration Test "durchgerasselt"

Beitrag von uname » 28.08.2017 12:58:15

Du könntest ihm ja (z.B.) den Link:

https://security-tracker.debian.org/tra ... -2016-1531

und die aktuelle Version deiner Pakete schicken (dpkg -l usw.)
Natürlich könntest du das noch mit Debiandebsums oder die Prüfsummen der relevanten Dateien verifizieren.

Aber von Debian hat dein Pentester schon mal gehört? Besser wäre wohl auch mal Debiandebsums durchlaufen zu lassen und auf alles ohne OK (grep -v " OK ") zu filtern.

Benutzeravatar
FAjka
Beiträge: 30
Registriert: 13.07.2015 17:00:57

Re: Beim Penetration Test "durchgerasselt"

Beitrag von FAjka » 28.08.2017 13:01:28

Hallo,

ja, diese Reaktion kann ich durchaus nachvollziehen.

Allerdings handelt es sich hierbei wie gesagt um einen "Global Player", dessen Marke zu den 30 bekanntesten Marken der Welt gehört. Das ist für uns mit einem entsprechenden Umsatz verbunden und dementsprechend niedrig ist die Motivation, das inhaltlich auszudiskutieren.

Für mich bedeutet das jetzt, dass ich die Abläufe so gestalte, dass die Ports von außen nicht mehr erreichbar sein müssen. Langfristig denke ich sogar, dass das die bessere Idee ist. Nicht, dass ich dem exim4 nicht traue - aber je mehr Scheiben das Haus hat, desto mehr Fenster kann man einwerfen.

Gruß,
Jörg

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Beim Penetration Test "durchgerasselt"

Beitrag von uname » 28.08.2017 14:25:23

Die Konstallation "30 bekanntesten Marken" und "Debian" war wahrscheinlich nicht gut. Enterprise-Linuxe gibt es eigentlich nur SuSE SLES und RedHat, selbst Ubuntu ist kaum eine Option. Debian ist dann doch sehr besonders. Überhaupt Debian im Firmenumfeld einsetzen zu dürfen ist ja schon fast ein Privileg. Die Tests werden wohl dementsprechend schlecht sein, weil der Anbieter es einfach nicht besser weiß. Wäre sinnvoller einen Pentester auszuwählen, der nicht nur Debian im Portfolio hat, sondern es auch wirklich versteht.

Benutzeravatar
HZB
Beiträge: 486
Registriert: 22.10.2003 11:52:15
Wohnort: Wien

Re: Beim Penetration Test "durchgerasselt"

Beitrag von HZB » 30.08.2017 18:11:04

Die ganzen Pentests sind nett funktionieren aber nur mit dem kompletten Wissen der Infrastruktur, etc.
Du kannst ein voll gepatchtes Enterprise Linux System nehmen und bei so manchem Test leuchtet sehr sehr viel auf.
Selbst gesehen bei OpenVAS. Der meckert bzgl der SSH Version bei RHEL 7. Impact ? Möglich.
Im konkreten Fall UNMÖGLICH, da der SSH Zugriff mittels IPTables nur von einem abgeschirmten Subnetz erlaubt ist.
Und ja ein ganz böser Bube könnte sich in dieses Subnetz hängen, und ..... Jaja die Theorie.
Das Problem ist nur, dass fließt in die Bewertung des Pentests nicht ein. Da bleibt einfach ein SSH "Fehler"

Lösungsansatz - Jessie Backports ?

https://packages.debian.org/search?suit ... words=exim

Da hättest Du zumindest die gleiche Version wie bei Strech.

reox
Beiträge: 2459
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: Beim Penetration Test "durchgerasselt"

Beitrag von reox » 05.09.2017 22:22:13

Versionsnummern abdrehen*? Dann muss der Pentester die System zumindest wirklich testen ;)

* schätze mal er wird ne SMTP verbindung aufmachen und die Header lesen?

r4pt0r
Beiträge: 1237
Registriert: 30.04.2007 13:32:44
Lizenz eigener Beiträge: MIT Lizenz

Re: Beim Penetration Test "durchgerasselt"

Beitrag von r4pt0r » 07.09.2017 15:34:10

reox hat geschrieben: ↑ zum Beitrag ↑
05.09.2017 22:22:13
* schätze mal er wird ne SMTP verbindung aufmachen und die Header lesen?
Dann wäre ich sehr gespannt was der Kasper zu dem folgenden SMTP dialog sagen würde :lol:

Code: Alles auswählen

% telnet 138.197.185.217 25
Trying 138.197.185.217...
Connected to 138.197.185.217.
Escape character is '^]'.
220 mail1.rostwald.de ESMTP spamd IP-based SPAM blocker; Thu Sep  7 12:21:38 2017
HELO test      
250 Hello, spam sender. Pleased to be wasting your time.
MAIL FROM <test@mydomain.lan>
250 You are about to try to deliver spam. Your time will be spent, for nothing.
RCPT TO: <test@localdomain.lan>
250 This is hurting you more than it is hurting me.
DATA
451 Temporary failure, please try again later.
Connection closed by foreign host.
Nein, die IP/hostname sind nicht anonymisiert - die crawler dürfen das ruhig fressen. Je mehr spamhosts auf der Blacklist landen, desto ruhiger wirds für mich :wink:


BOT:
Ich würde diesen ersten Bericht ausführlich kommentiert, inkl. links/zitate zu den entsprechenden patchnotes und betroffenen CVEs an den Zuständigen bei euerem Kunden (+ggf CC an den "Pentester") zurücksenden. Ein grep durch die mails der security-announce liste in den letzten ~6 Monaten deckt da i.d.r. schon >90% von allem was man braucht ab.
Ruhig häufiger darauf hinzuweisen, dass die genannten CVEs - wie du schlüssig dargelegt hast - in den verwendeten Versionen gefixt sind und diese Information dem Pentester hätte bekannt sein müssen bzw hätte recherchieren müssen. Wichtig: Das ganze *muss* auch eine kurze, nicht zu technische Zusammenfassung beinhalten, die - sofern gerechtfertigt - die Inhaltlichen Lücken und Fehler des Berichts hervorhebt! (siehe weiter unten warum...)
Der Kunde wird ziemlich sicher einiges an Geld dafür ausgeben - wenn man ihnen klar macht, dass sie da mit nem Azubi und google in wenigen Stunden zu einem Bruchteil der Kosten ein aussagekräftigeres (korrekteres) Ergebnis bekommen könnten, werden die sich sicherlich schnell jemanden suchen der wirklich Kompetent ist und nicht nur ohne weitere Recherche (geschweige denn konkrete Pentests durchzuführen) wahllos CVEs zu Software/Paketversionen auflistet, ohne deren Aktualität zu Prüfen...

Zu praktisch sämtlichen CVEs zu denen auch exploits existieren, gibt es i.d.r. auch fertige metasploit module oder sie sind dafür einfach zu skripten. Ein konkreter Test auf die Anfälligkeit eines Dienstes ist heutzutage wirklich jedem skriptkiddie möglich (dank Kali Linux gibts ja mittlerweile auch genug solcher "Pentester") - wenn der Tester auch das nicht hinbekommt (will?) um einen wirklich Aussagekräftigen Report zu erstellen, dann reich doch ggf entsprechende logs von eigenen Analysen ebenfalls ein - wieder mit dem Hinweis, dass dies eigentlich Aufgabe des Pentesters gewesen sein sollte, und dass diese erste ausführliche Analyse des Testberichts noch ohne Aufwandsberechnung erfolgt, zukünftig bei negativem Ergebnis aber der Zeitaufwand berechnet werden muss.

Solche Tests werden zu 99% von Schlipsträgern (PHB) in Auftrag gegeben die nicht den blassesten Schimmer von Software (oder Technik im allgemeinen) haben und erstmal alles glauben was ihnen in einem bunten Hochglanzreport vorgelegt wird - genau deshalb muss der eigene Bericht eine kurze, einfache Zusammenfassung enthalten. Das Einzige was bei denen noch mehr zieht als buntes Papier mit Horrorgeschichten, ist das andere bunte Papier: Geld. Wenn man denen (am besten auch mit nem bunten Hochglanzreport) erklärt, dass sie zu viel davon für minderwertige Reports ausgeben, sind sie ganz schnell Handzahm und suchen sich jemand anderen für die Tests. (Pro-Tip: Im richtigen Moment ein professionelles Unternehmen/Freelancer empfehlen)

Antworten