Investigation d'une faille de sécurité dans un système de passerelles

Introduction

L'auteur, un expert en sécurité, relate une expérience personnelle lors d'une évaluation de sécurité qui a dégénéré en une réponse à un incident. Il a obtenu l'autorisation de partager les détails de cette affaire.

Contexte Technique

L'auteur a été chargé d'évaluer la sécurité d'un système de passerelles inverses et d'équilibrage de charge. Ces passerelles utilisent un noyau Linux personnalisé et une application GOlang statique. L'application sert à la fois d'init et de logiciel de passerelle inverse. Elle monte des partages NFS pour accéder à des fichiers de configuration et à des certificats TLS.

L'auteur a créé un environnement de test pour évaluer la sécurité de ces passerelles, mais n'a trouvé aucune faille de sécurité majeure. Il a ensuite décidé de se concentrer sur l'analyse du trafic réseau pour détecter d'éventuelles attaques.

Analyse et Implications

L'auteur a utilisé des outils de capture de trafic pour analyser les communications entre les passerelles et les serveurs. Il a découvert que les passerelles ajoutaient un en-tête 'X-Orig-Connection' aux requêtes HTTP, ce qui lui a permis de corréler les requêtes HTTPS avec les requêtes HTTP.

Il a ensuite créé un programme Python pour analyser les captures de trafic et identifier les connexions qui contenaient des informations personnelles. Il a constaté que la distribution des temps de connexion pour les requêtes HTTPS était anormale, ce qui l'a amené à soupçonner une faille de sécurité.

Perspective

L'auteur a découvert que les passerelles utilisaient un noyau Linux modifié qui contenait une faille de sécurité. Il a également constaté que les fichiers de configuration des passerelles étaient stockés sur un partage NFS et que les passerelles rechargeaient ces fichiers régulièrement.

Il a utilisé ces informations pour extraire les fichiers de configuration des passerelles et les analyser. Il a découvert que les fichiers contenaient des données chiffrées, ce qui l'a amené à soupçonner que les passerelles étaient compromises.

L'auteur a conclu que la faille de sécurité était due à une modification du noyau Linux utilisé par les passerelles. Il a recommandé de mettre à jour le noyau et de remplacer les fichiers de configuration compromis.