入职广州某上市公司从事生产环境的的相关运维工作,因为刚好过了半年,各大公司正在准备Q3的财报或者半年的总结和财报,我所在的这家公司也不例外。
所以入职后,我也参与了部门上半年的工作总结会和下半年工作规划会,整个部门涉及运维、技术支持、测试和开发团队,此外还需要联调运营、商务、客代和客成去做一些项目上的工作。
上半年的工作总结中,开发团队侃侃而谈,主要重点就两个:① 上半年完成了本地机房或者数据中心生产环境迁移上云解耦②K8s的大规模引入;其总结如下:解耦降低业务风险,将过去很多历史遗留的问题或风险解决,最重要的实现了降本、大大降低了数据中心租赁和运维成本,并列举了深圳某子公司,一个人就是一个运维团队,暗戳戳的阴阳部门不给他们开发招聘指标,但给了运维的招聘指标……
原本以为事情就这么过了,结果昨天,被喊去吃了一个大瓜,参会现场上,网警展示了红队对我们公司的业务、生产、测试、办公网、子公司网络、因为项目原因提供给客户的一些对外域名的一次完整的攻击,涉及webshell、nacos多个漏洞、弱口令、SQL注入、XSS注入等,甚至没有使用上钓鱼攻击、0day漏洞等……完完全全就是靶子,被完整的渗透。
这也是从事多份工作以来,第一次遇见这么被打成筛子的公司,还是港股上市公司……
最最最最离谱的是,公司有个网络安全的内部服务号,定时分享网安相关事宜,最新漏洞或者数据泄露等问题……但是这些情况,完全没人留意或者同步给生产或者运维,各部门之间的协调一团糟。
下面简要说一下被攻击的过程
(1)最高频出现的,nacos漏洞,公司很多业务都需要用到nacos来做鉴权,但是对外暴露的域名里,很多都有使用nacos,但是版本不统一,几乎2.5版本以下的漏洞全涉及、很多交付给客户后,客户直接使用的弱口令,如12345、abc12345之类的……而在一些早期发布的nacos里配置里,甚至还有一些服务器的明文密钥,也因为这个,被红队成功横向渗透攻击,而且不同nacos里或者数据库里,还留有许多信息,如测试机IP或者登陆用户名等等等,也因为这个,被成功渗透进内网。
(2)测试机被攻破可供远程后,最离谱的来了,测试机上,有着浏览器默认保存的POC服务器的完整权限,而测试机可供远程后,红队自然也可以修改本地admin密码,从而来通过浏览器获取服务器的完整密码,在此基础上,又在服务器里,拿到了多个nacos权限,在相关配置文件里,找到了被注释的生产环境的IP和相关密码,通过网段轮训和nacos扫描后,成功拿下了生产环境的部分nacos权限,并实现了内存马注入、webshell等等等。
(3)而后又在各个生产服务器上,找到了公司内网某些测试机的IP和远程账号,最后发现了某台测试机上留存的截图,发现了某台公司内网的机器……而这台机器,来自于开发团队的电脑……具体是向日葵还是todesk之类的,没记太清
(4)远程到开发的电脑后,获得的权限就更夸张了,测试网VPN、生产网VPN、堡垒机、跳板机,全都有权限登录,甚至于在某个文件夹上,找到了密码本,以至于整个测试网、跳板机、生产网都被拿下。而堡垒机由于有双因子认证,没办法登录,但通过生产网的VPN,再加上是开发的权限,找到了部署云服务上的nacos,成功拿下了多台ecs,以至于上云机器被横向攻击,全部沦陷,部分数据库里数十万个人信息在数据库中可供查询(我终于知道为什么数据泄露这么离谱了,加密都没有,全是明文)
(5)最后就是一些常见的sql注入、webshell拿下对外做项目提供给甲方的域名,拿到了各种乱七八糟的权限……
最尴尬的是,公司最近还在弄等保测评,昨天看他们挣扎,想把几十个漏洞合并成几个,一百多页的word文档。
原本只是简单的对外域名未授权访问和弱口令,内外网测试网生产网都是做了网络隔离的,但是因为一些疏忽:已发布很久的漏洞未修复、配置文件中留存有明文密码、弱口令等,导致了整个公司网络被拿下。
当时我在会上,就是这个表情,就差自己拿个漏扫扫一下公司内网里有多少漏洞之类的了。
事后,要求三天限期整改,但是整改的效果如何,拭目以待,至于公司上云和。