Unrestricted File Upload at Apple.com

в 10:36, , рубрики: amazon s3, Amazon Web Services, apple, hack, Блог компании Модульбанк, информационная безопасность

Внимание — это фривольный перевод заметки о том, как именно Jonathan Bouman нашёл публичный AWS S3, который использовался на одном из поддоменнов apple.com. Плюс заметка хороша тем, что наглядно демонстрирует пользу от нескольких маленьких утилит в совокупности с терпением.

Unrestricted File Upload at Apple.com - 1

Возьмите кофе и запустите Aquatone. Эта утилита может обнаружить поддомены в заданном домене используя открытые источники и метод грубой силы со словарём.

Unrestricted File Upload at Apple.com - 2

Aquatone имеет четыре различные команды:

  1. Aquatone-discover — ищет различные поддомены
  2. Aquatone-scan — сканирует результат п.1. на открытые порты
  3. Aquatone-gather — создаёт скриншоты каждого сабдомена, собирая все результаты в html-отчёт
  4. Aquatone-takeover — пытается найти неактивные поддомены, которые хостятся внешними хостерами. Нашёл один? Иди регистрируй и получай свою награду!

Unrestricted File Upload at Apple.com - 3
Report output of Aquatone
Сидим, ждём, мечтаем.

Обычно нужно несколько минут на поиск, скан и сбор.
А на Apple.com? Это заняло 30 минут, 84 отчёта, 18к уникальных хостов.

Мы первые кто использует aquatone для скана apple.com? Определённо нет. Читали ли другие люди все 84 страницы? Определённо нет.

Так что начнём со страницы 50 и прочтём лишь последние 34 страницы.

Поиск аномалий в шаблонах

После 50 минут чтения отчётов замечен шаблон. Один из них в том, что apple.com иногда использует AWS S3 для хранения файлов, используемых их поддоменами. Так что, если можно получить доступ на запись на один из S3 — можно обеспечить доступ на один из поддоменов apple.com.

Unrestricted File Upload at Apple.com - 4

Чтение всех 84х отчётов — скука. Все отчёты содержат http-заголовки, отправляемые сервером. S3 — всегда отправляет заголовок X-Amz-Bucket-Region. Поиск этого заголовка в отчётах:

Unrestricted File Upload at Apple.com - 5

Теперь каждый вручную нужно прокликать, чтобы увидеть, что будет, если открыть урлу. Почти все поддомены отдают Access denied.

Unrestricted File Upload at Apple.com - 6

Кроме одного: live-promotions.apple.com

Unrestricted File Upload at Apple.com - 7
S3 response, containing the bucket name and directory contents.

Итак, теперь есть имя S3 бакета. Это позволяет напрямую коннектиться к нему

Как получить доступ, смотрите здесь.

Нужно установить Command Line Interface of AWS и можно пробовать открыть этот бакет используя имя из ответа выше

После этого можно пытаться загрузить фейковую страницу входа и открывать её в браузере.

aws s3 cp login.html s3://$bucketName --grants read=uri=http://acs.amazonaws.com/groups/global/AllUsers

Unrestricted File Upload at Apple.com - 8
алерт кук

Заключение
Был получен полный доступ на чтение/запись на S3 бакет Apple, который доступен на одном из их поддоменов. Достаточно для залития фишингового сайта или воровства кук.

Решение
Никогда не предоставлять анонимам права на чтение/запись
К счастью защита S3 довольно проста и настроена по дефолту
см. доку: docs.aws.amazon.com/AmazonS3/latest/dev/access-control-overview.html

Что это было:

— Загружена фишинговая страница на live-promotions.apple.com
— Можно было красть кукисы посетителей
— Можно было стянуть конфиденциальные файлы из бакета (он содержал проекты на xcode)

Зал славы

Спустя 4 часа я получил ответ от Apple, подтверждающий баг. В тот же день он был исправлен и теперь он упомянут в зале славы

Письмо + скрин из зала

Unrestricted File Upload at Apple.com - 9
Unrestricted File Upload at Apple.com - 10

Timeline

19–06–2018 Discovered and reported bug
19–06–2018 Apple confirmed the bug
19–06–2018 Apple fixed the bug
22–06–2018 Apple mentioned me in the Hall of Fame
22–06–2018 Published this blog

Автор: SanSYS

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js