Shodan analiza: JKP Komunalac – Izloženi SQL i RDP servisi

[VincaSec]

Tokom istraživanja putem Shodan pretrage, fokusirao sam se na identifikaciju otvorenih i potencijalno ranjivih servisa u Srbiji, sa akcentom na port 1433/TCP, koji se koristi za Microsoft SQL Server. Ovaj port, ukoliko je javno dostupan bez zaštite, predstavlja ozbiljan bezbednosni rizik jer omogućava napadačima da pokušaju brute-force napade, eksploataciju poznatih ranjivosti, kao i prikupljanje osetljivih podataka o sistemu preko NTLM odgovora. U pretrazi sam pronašao više aktivnih SQL servera dostupnih sa interneta, što ukazuje na nedovoljnu mrežnu segmentaciju i neadekvatnu zaštitu.

Posebnu pažnju mi je privukla IP adresa koja je javno izlagala SQL Server, a pripada JKP Komunalac Inđija. Na toj adresi je otkriven SQL Server 2017, koji otkriva NTLM informacije, verziju operativnog sistema (Windows Server 2016), kao i NetBIOS i DNS imena, što sve zajedno predstavlja korisne podatke za potencijalnog napadača. Uz to, primetio sam da je istovremeno otvoren i port 3389/TCP, koji omogućava pristup putem Remote Desktop Protocol-a (RDP), što dodatno povećava rizik jer je RDP česta meta napada, naročito kod javnih institucija. 

   

   

   

   

Daljim ispitivanjem utvrđeno je da poddomen evidencija.komunalacin.rs koristi IP adresu iz opsega 178.220.225.184 - 178.220.225.187, koji prema WHOIS podacima pripada JKP Komunalac Inđija. Dok glavni domen komunalacin.rs koristi drugu IP adresu, ovaj konkretan poddomen je jedini koji je direktno vezan za IP opseg javnog preduzeća.

   

   

[VincaSec]

Na toj IP adresi su javno dostupni i portovi 80 i 443, putem kojih se prikazuje Microsoft IIS HTTP server. Pristupom ovom servisu moguće je sprovoditi osnovnu enumeraciju i proveru konfiguracije.

Posebnu pažnju zahteva potencijalna ranjivost u vezi sa IIS short file name (8.3) disclosure mehanizmom, koja koristi karakter tilde (~) za otkrivanje imena fajlova i direktorijuma na web serveru. Ova tehnika datira još iz 2010. godine, ali je i dalje aktuelna, čak i na najnovijim verzijama kao što je IIS 10 na Windows Server 2022. Postoje alati koji omogućavaju ovakvu analizu slanjem prilagođenih HTTP metoda bez potrebe za kompleksnim refleksijama, a iako je originalni alat tehnički zastareo, brojni istraživači su ga reimplementirali u modernijim jezicima (npr. Go), što omogućava efikasniju i pouzdaniju detekciju.

https://github.com/irsdl/IIS-ShortName-Scanner

https://soroush.me/downloadable/microsof...eature.pdf