יום שישי, 13 במרץ 2020

PowerMTA (SMTP Email Server) monitoring interfaces by SparkPost got exposed in Fofa search engine


PowerMTA is SMTP Server provided by SparkPost
(Simple Mail Transfer Protocol Server)

55,089 IPs with monitoring interfaces belong to verity of users and clients of PowerMTA, the SMTP Email Server provided by SparkPost - got exposed in FOFA cyberspace search engine.




PowerMTA product background:
Previously own by Port25 Solutions,Inc.



Later, SparkPost became Message Systems new company name for its cloud business, and Port25 products got rebranded as well under SparkPost, 







While many of the exposed interfaces has logs in read only mode, others have full control on the interface in admin mode.
Company got inform more than one time and refuse to handle to issue.

Some of the clients has in one log file metadata of more than 450,000 emails, so the estimated is metadata of the exposure is at least hundreds of millions of listings emails, this numbers can be billions.

Basically, it's heaven for spammer/scammer and other actors who collect emails for verity of uses, and that’s why I waited for the company to act, with no success.

Some of the users seems to be less legitimate and might be spammers and scammer who are misusing the product.

Many of the interfaces are running on Linux VPS (Virtual Private Servers)

The exposure can allow potential attacker to gain access to verity of activities included:
·  Status
·  Queues
·  Domains
·  Virtual MTAs
·  Jobs
·  Logs
·  Edit configuration
·  Show/enter license key
·  Start PowerMTA


Link to Fofa.so (like Shodan):

Dork

Due to the impact involved in this case and the amount of metadata with emails listing being involved, I decided to let the company to deal with the case much longer then usually needed, this while I knew they basically rejected any act in the case.
I waited almost a year.

During the time when reported the issue, the sum of exposed IP's were 24,835 IP’s, now the numbers are 55,089 IPs.


Timeline:

04.05.2019
First report by support email of port25
04/05/2019 
Auto replay from SparkPost email
with the case number 
and the following text:

“Hello,

Thank you for contacting Port25 Support. A Port25 Support Analyst will get back to you shortly during business hours (Mon-Fri 9:00am ET - 5:00pm ET). Please allow for additional response time when submitting a case over the weekend or during a holiday period. In order to better assist you, please ensure you have provided the software version and configuration file where applicable. If you have any additional information to add to this case, please reply to this email. Best regards, The Port25 Support Team”

No answer by email, and no Analyst contacted me.

13.05.2019
I call them by phone at 
Since I'm not a client they didn’t wanted to share information or data, they didn’t ask for more details.
They confirm they did receive the email about the issue.

16.05.2019
Answer from the Israeli CERT:
The Israeli Cyber EmergencyResponse Team (CERT) communicated with them as well, followed my report  - and basically got answer that SparkPost won't deal in the issue.

19.09.2019
I've sent another email regards the case to support at Port25, with no replay.

20.10.2019
An email sent to the privacy department at SparkPost, I got no replay.





Logs


Logs metadata:




Edit configuration 


Enter command interface


Domains interface


Current license key info



יום שני, 19 באוגוסט 2019

Exposure of TensorBoard interfaces in Fofa.so









Google AI family has an open source platform called Tensorflow, as part of Tensorflow there is a tool called TensorBoard.

"TensorFlow is an end-to-end open source platform for machine learning. It has a comprehensive, flexible ecosystem of tools, libraries and community resources that lets researchers push the state-of-the-art in ML and developers easily build and deploy ML powered applications"

This tool can be exposed to IoT search engines like Shodan, Fofa, Censys etc, as long as the users didn't properly secured the service.

I decided to use Fofa search engine for my proof of concept.

Attacker can search for TensorBoard in Fofa (similar to Shodan)
2.Type in search bar: "tensorflow" && title=="TensorBoard"

Most of the results I saw were not too sensitive 

Timeline:

17 Apr 2019
First email to Google security.
After responding I gave them proper deadline.

14.05.2019
"The team is working on changing the behaviour in the next major release of TensorFlow."

16.05.2019
I frankly don't know their release plan :( They are now in Alpha if that helps: https://www.tensorflow.org/alpha

03.07.2019
you're more than welcome to publish, and we're happy to have a look too! :D

04.07.2019
It's unclear from the team, they've been informed you want to publish and to be honest, they don't seem overly concerned at the prospect of disclosure. I've asked them for a rough estimate of time for the release (which might take a couple of days for them to respond), but I'd say use your judgement on the best course of action here with the knowledge that the team says this was a pretty well documented and non-hidden aspect of Tensorboard. 

Sorry, I know that's really non-definitive and we do appreciate the patience and taking into account the fix here.. It's a weird situation, but I'll keep you up to date with anything the product team has to say about it
---==
Now there is TensorFlow 2.0 Beta out there so I decided to publish my findings.















יום שישי, 16 באוגוסט 2019

סיפור על קיוסק העיתונים - פלטפורמה להפצה פיראטית של עיתונים שנכנסה לשימוש במסמך רשמי של וועדת הבחירות לכנסת ה21



תכנת Telegram הפכה בשנים האחרונות לפלטפורמה שגורמים רבים משתמשים בה, בין היתר נעשה בה שימוש בהקשר של טלגראס, ערוצים להפצה של תכנים פוליטיים מסחריים ועוד.
בחודשים האחרונים מסופק בה שירות חדש הצובר פופולריות בשם קיוסק העיתונים @newspaperil – שירות זה משמש להפצת עיתונים ומגזינים פיראטית תוך פגיעה בזכויות יוצרים.
    
מידי יום, מופצים בשירות זה עיתונים שונים ומגזינים אשר נסרקים על ידי גורם אלמוני ומועלים לערוץ באופן דיגיטלי, כך שלמשתמשים נחסך הצורך לרכוש עיתונים ומנויים - דבר המהווה איום על המוצאים לאור.
כיום יש לשירות למעלה מ10,000 משתמשים, והמספר עולה מחודש לחודש.




מאחר שמדובר בשירות שפוגע בכלי התקשורת, אין ממש להיטות לפרסם עליו אייטמים ולכן לא רואים כמעט אזכורים פומביים שלו.

החלטתי היום לבדוק מי כן השתמש בשירות, ולמצוא אזכורים מעניינים שמראים כיצד הפיראטיות של העיתונים באה לידי שימוש, אז פניתי ל .Google

באופן מפתיע הסתבר לי שאחד הגורמים הראשונים בישראל, שהשתמש ופרסם באינטרנט מסמך המכיל תוכן שהופץ פיראטית על ידי קיוסק העיתונים - היה גורם ממשלתי, ועדת הבחירות המרכזית לכנסת ה21 בראשות השופט מלצר.
המסמך שם הינו צילום של עיתון הארץ, אשר הוגש לוועדה כראיה תומכת לצורך שלילת מועמדות לכנסת של ד"ר עופר כסיף ממפלגת חד"ש.

את הבקשה הגישו ח"כ אביגדור ליברמן, ח"כ עודד פורר, סיעת ישראל ביתנו, המסמך הוגש לוועדה כחלק מהבקשה.

לא ברור מי מהמבקשים היה זה ששלח את המסמך, אבל הוא השתמש בעיתון שהופץ בצורה המעודדת הפרת 
זכויות יוצרים, וגרם לפרסום של השירות בתוך מסמך ממשלתי רשמי.












  בחיפוש של הערך בטוויטר, נראה שאנשי תקשורת רבים מודעים לשירות ועושים בו שימוש, החל מרני רהב, יאיר נתניהו (כפי שחשף העיתונאי אמיתי זיו), ועד חדשות 12 וגורמים אחרים.








יום שבת, 9 במרץ 2019

בשם חופש המידע - איך השגתי את מספרי הצל שמסתתרים מאחורי הכוכביות




במשך קרוב לעשור אני עוסק בנושאים שונים הקשורים לפרצות טלפוניה

 אחד מהנושאים שחוזרים על עצמם שוב ושוב עם חוסר ההצלחה שלי לבצע שינוי מערכתי, הם מערכות טלפוניה לזיהוי לקוחות המתקשרים למספר מסויים, ומזוהים לפי  
מספר טלפון המזוהה שאיתו הם הציגו את עצמם

זיהוי שכזה כמזהה יחידני הינו בלתי חוקי, וניתן לעקיפה בקלות בעזרת שינוי שיחה מזוהה, שינוי שניתן לבצע בעזרת אפליקציות ייחודיות או הגדרה פשוטה למי שמתפעל מרכזיות טלפוניה בעלות ספקים זרים.

לא פעם התרעתי על חולשות הקשורות למשפחה זו של חולשות זיהוי לקוחות בממשקים טלפוניים, ובגדול נכשלתי.

רוב האופציות של אזרחים בישראל לבצע שינוי שיחה מזוהה, הינם על ידי שיחה ממערכת הממוקמת במדינות זרות, כאשר מערכות אלו לא תומכות בהתקשרות למספרים מקוצרים בצורת חיוג לכוכבית

לכן לפעמים לתוקף הפוטנציאלי יש בעיה - אין לו את הטלפון האמיתי שמסתתר מאחורי הכוכבית

בקשות חופש מידע הינן דרך אולטימטיבית לפגיעה בפרטיות, ולאיתור פרצות אבטחה - בשם החוק

הן במהותן חיוביות, אבל כמו שכתבתי פה כבר בעבר, ההשלכות שלהן יכולות להיות חסרות תקנה

לפני מספר חודשים החלטתי לחסוך הרבה כאב ראש מחקרי, ולהגיש בקשת חופש מידע בנושא הכוכביות

אני מקווה שהתוצר הזה יגרום הפעם לשינוי מודעות
מדובר על מאגר מידע חופשי, ועל שיטה שלא נועדה לאבטח אלא לקצר את תהליך ההתקשרות של הלקוחות ולפשט אותו.


להלן הדוח שקיבלתי
אם יש לכם מערכת טלפונית, אל תסתתרו מאחורי כוכבית בתואנה שאי אפשר להתקשר לשם באופן מזוייף, זאת אשליה אופטית
אשליה טלפונית שבקשת חופש מידע ממסמסת ביעילות


המאגר הזה מאוד יעיל גם לשימוש רגיל, כמו שיחות טלפון לאנשים ששוהים בחו"ל או מתקשרים ממערכות טלפוניה מבוססות אינטרנט שלא תומכות במספרי כוכבית

 אגב, התברר לי שהיה גורם נוסף שביקש בקשה דומה קצת לפני, ככה שההליך היה יחסית מהיר 

 לדעתי, יש לבצע תיקון לחוק שיגרום לכך שכל  בקשת חופש מידע תעבור סינון של איש אבטחת מידע שהוכשר לכך

בנוסף, יש לבצע מניעה מעקב ואכיפה אחר גורמי 
טרור ופשע שמנצלים בקשות חופש מידע לרעה 


כאן ניתן לראות בקשה שלישית בסגנון זה ומאגר , כללי של בקשות חופש מידע

https://foi.gov.il/he/node/5197 

יום רביעי, 13 בפברואר 2019

Hacking last mile solutions

Two years ago I was analyzing the needs of better security solutions in last mile solutions and hybrid robots.

IOActive should be named as a company who took this subject into the hands earlier then other

Now, Zimperium are joining as well, and I think it's time to push this sobject much forward.

We must have regulations regards cyber security of micro transportation.

איומים קיברנטיים על כלי תחבורה זעירה בישראל ובעולם

https://www.digitalwhisper.co.il/files/Zines/0x64/DW100-10-ElecTwoWheel.pdf

https://www.mail-archive.com/fulldisclosure@seclists.org/msg04986.html

Zimperium

https://www.geektime.co.il/xiaomi-m365-scooter-hacked/

https://blog.zimperium.com/dont-give-me-a-brake-xiaomi-scooter-hack-enables-dangerous-accelerations-and-stops-for-unsuspecting-riders/

https://youtu.be/ASygXa8UVYk

יום שלישי, 16 באוקטובר 2018

האם יש הבדל בין בין ריגול ליזמות? - חברת RedCrow

-מעקב-
מאת אמיתי דן


לפני כשנתיים חשפתי לראשונה בעברית, ובעזרת המגזין  Israel Defence את הפעילות המודיעינית של חברת הייטק פלסטינית ביטחונית הרשומה בארצות הברית.

החברה מבצעת שימוש במקורות open source, מקורות מידע אנושיים ועוד ומספקת בין היתר מידע חי ואסטרטגי על כוחות הביטחון.

הם משתמשים בטכנולוגיות NLP וכלים אוטומטיים לאיסוף מידע, וזאת במקביל לעבודת אנליסטים ושירותים אחרים.

מדובר בדוגמה ראשונית ליזמות בתעשייה הביטחונית הפלסטינית שמתמחה במודיעין בזמן אמת, וניתוחים אסטרטגיים באזור MENA.

נכון להיום עיקר הפעילות שלהם היא ישראל/עזה/גדה ירדן מצריים ולבנון.

פעילות החברה, כוללת איסוף ומסירת מידע בזמן אמת על פעילות כוחות הביטחון בישראל, ולכן גם מאתגרת בפועל את רשויות החוק וכוחות הביטחון.

בניגוד לעבר, לאחרונה הם פתחו אפליקציה בסיסית, שאליה ניתן להצטרף על ידי מנוי שמשולם דרך חנות האפליקציות, ומיועדת לעיתונאים וגורמים אחרים שרוצים לקבל מידע על איומים באזור גאוגרפי נתון.

מצב זה, מאפשר הצטרפות של ארגוני טרור לשירות הבסיסי, ולקבל ממנו מידע שימושי מבלי לעבור סינון מקדים.


בניגוד לפתרונות רבים בשוק, ההתמחויות שלהם אשר כוללות גם ביטחון פיזי, גם מידע מאנשים וגם קצירת מידע ממקורות OSINT מספקות מוצר שמוביל כיום את המענה למודיעין גאופיזי ללקוחות אזרחיים בזמן אמת באזור MENA.


מאחר שהחברה פותרת בעיות ללקוחות לגיטימיים רבים, היכולות להתמודד עם הפעילות המקומית שלה, מקבל אתגר גדול יותר מבחינת נראות ומבחינה חוקית.
הם מאתגרים את המערכת ואת המושג ריגול ומסירת מידע לגורם זר.

האינטרס של מדינת ישראל לעודד יזמות, יפגע אם יפריעו לפעילות שלה, ומנגד בעידן שבו כוחות חמאס אוספים מידע על חיילים דרך חדירה למכשירי טלפון, כדאי להבין שמידע רב על כוחות הביטחון, מפורסם בזמן אמת תוך יכולת לניצול לרעה על ידי ארגוני טרור.

מקורות:
RedCrow Lite

RedCrow

כתבה ב Israel Defence
2016



Sources: redcrow
From UNICEF article





יום רביעי, 10 באוקטובר 2018

Lets detect the IoT search engines, from Fofa to Shodan


By Amitay Dan  
11.10.2018

Hunting the hunters is fun, but let’s starts from the background

In this article I will show how can we detect Shodan and Fofa user-agents, and who already made a progress. 





What do you know about Shodan Censys ZoomEye and Fofa ?
Those search engines are dedicated to map the Internet Of Things and other sensitive devices.

I like them very much, but I think it come with a price, everything beings exposed at once, with no time to fix vulnerabilities. Legally those scanners activities are against the ruling made by the Supreme Court of Israel, but let’s leave it for now focus on the technical aspect .

---

What can you do in order to prevent IoT search engine from leaking sensitive database, and scanning exploited devices, like smart houses?

As we all know, now days many houses are being connected to the internet.
Just like critical infrastructure and other devices which has connected to the internet for many years.
Now, it's a race to the internet, even connected microwave is being provided by Amazon so you can talk to Alexa everywhere.

Unlike google which is focusing mostly on websites, those search engines are dedicated for cataloging sensitive finding, connected devices, databases and other things which we want to prevent from felling into the wrong hands.

Is there any solution? can we implement something in PLC or RTU to prevent IoT search engine form detecting and cataloging them? 
What smart house vendors should do to protect users from those search engines?
Is that even legal to scan the house?

Today I had an interesting finding.
I were looking at error in IoT search engine called Fofa, and realized something interesting
It was saying: 

 E\x00\x00\x00\xffj\x04Host '*.*.*.*' is not allowed to connect to this MySQL server 

 


It was very interesting because I never saw anyone speaking about how to prevent those engines from entering into houses. I did spoke about the legal aspect of it, but let's forget about the law and keep digging.

After realizing that this is Fofa user-agent, I were using Google to check if anyone mention this string before, none. only Google were mapping Fofa activity in the wild.

So I were thinking, let’s see what Fofa done before? how many times it get blocked while using this string? well numbers were very high, 840696 times.

Query: "E\x00\x00\x00\xffj\x04Host '*.*.*.*'", Total results: 840696took 4545 msmode: normal.
认只显示一年内的数据,点击 all 链接查看所有

 




Now I was thinking, what about Shodan, can we look for Shodan in the wild?

Googling this subject were leading me into a results from a website called "Webmaster World" back
to Jun 2016 someone shared information about strange behavior of Shodan.

 

While reading the post, I gain user agents which seems to be used by Shodan

shodanscanprint

shodanscanprint(chr(49).chr(55).chr(73).chr(53).chr(51).chr(48).chr(86).chr(65).chr(117).chr(52))

 

 g3shodanscanprint

 



Now I had dorks to hunt

 





Then came new results

shodanscan'ls -la'
g3shodanscan');ls -la;/* 
g3shodanscan'{${print(chr(49).c
 
 


While analyzing the findings, I was thinking maybe it's a starts. why don't we build a database of IoT search engine, so developer can use it and try to prevent them from adding devices and sensitive data?

However, after some searching, I've realized that some researchers from the academic field, already made a progress and published a research about this subject during the 2017 Ninth International Conference on Ubiquitous and Future Networks (ICUFN 2017).

 The article name is "Abnormal Behavior-Based Detection of Shodan and Censys-Like Scanning"
The researcher are  Seungwoon Lee; Seung-Hun Shin ; Byeong-hee Roh all based on South Korea.

Here is the abstract they wrote:

"Shodan and Censys, also known as IP Device search engines, build searchable databases of internet devices and networks. Even these tools are useful for security, those also can provide the vulnerabilities to malicious users. To prevent the information disclosure of own IP devices on those search engines, a fundamental solution is blocking the access from the scanners of them. Therefore, it is needed to understand and consider their scanning mechanism. Therefore, we propose an abnormal behavior based scan detection of Shodan and Censys. To do this, several traditional scan detection approaches are combined and applied to satisfy their specification. Proposed idea is monitoring packets whether it is abnormal or not and adding on the suspicious list if it is. This is based on traditional threshold approaches. To figure out it is abnormal, stateful TCP stateful packet inspection is used. The response behavior during the connection can be identified with TCP flag and abnormal behavior can be classified with SYN Scan, Banner Grabbing, and Combined SYN and Banner Grabbing. Demonstration is simulated in a Censys-like environment and detected time variation per variance of distributed detectors and Threshold value is analyzed."

Later, I saw two projects in Github focusing on Shodan Only, posts about it and other projects
The most effective and updated service seems to be given by SANS ISC (Internet Storm Center ) InfoSec, it's called DShield API.

Most of the projects are giving solutions based on IPs list, and less user agents, or just looking only on Shodan and censys, without giving attention to the Chinese based competitors.
 
As for Censys, in their website, they have explanation of how to prevent them from scanning, yet, they won't delete results.

"Can I opt-out of Censys scans?


Censys scans help the scientific community accurately study the Internet. The data is sometimes used to detect security problems and to inform operators of vulnerable systems so that they can fixed. If you opt-out of the research, you might not receive these important security notifications. 

However, if you wish to opt-out, you can configure your firewall to drop traffic from the subnets we use for the measurements: 141.212.121.0/24 and 141.212.122.0/24. We do not remove results from Censys, but if you have blocked these subnets, the results will automatically be pruned out."
Conclusion
 
To summarize, I think IoT search engine are something great, they are really helping for security researcher and basically for the safety. Scanning engines activities might be illegal in some countries, yet, it's helping to detect problem and push vendors into solutions.
As from the vendors and the end users’ aspects, they might be unhappy to know that their house or product are now out here, not protected and easy to attack.

I know that tools which detect port scanning are nothing new, but being focused on search engine activity, and banning and blocking them locally from adding sensitive information into the catalog of things, might help in many cases when solution is not coming soon, and fixing won't be done before the attacker will take advantages.

We should balance between the freedom to know everything, the interest of security researcher to get data about exploited devices, and the rights for personal and public safety.

Giving the public abilities to detect user-agents of internet of things devices, it’s something to start with.


Now, let’s hunt the hunters
Let’s hunt Shodan, ZoomEye Fofa and Censys.

Let’s build database of user agents belongs to IoT search engine.  

PowerMTA (SMTP Email Server) monitoring interfaces by SparkPost got exposed in Fofa search engine

PowerMTA   is SMTP Server provided by SparkPost (Simple Mail Transfer Protocol Server) 55,089 IPs with  monitoring interfaces  b...