Xakep #305. Многошаговые SQL-инъекции
Разработчик, скрывающийся под псевдонимом Vector, опубликовал на GiHub исходные коды решения, которому было присвоено название AutoSploit.
Идея, стоящая за этим написанным на Python инструментом, настолько проста, что ИБ-эксперты, которые сейчас активно критикуют поступок Vector, мрачно удивляются тому, что подобную разработку создали и обнародовали лишь сейчас.
Как можно догадаться по названию, AutoSploit представляет собой простой инструмент для удаленного взлома уязвимых хостов. Инструмент использует в работе API Shodan, через который ищет определенные устройства, «смотрящие» в интернет, а затем пытается эксплуатировать различные известные проблемы в них, при помощи Metasploit.
«По сути, вы просто запускаете инструмент и вводите поисковый запрос, что-нибудь вроде “apache”. После этого инструмент обращается к API Shodan и находит девайсы, которые подпадают под описание “apache” на Shoudan, — рассказал Vector журналистам Vice Motherboard. — Затем загружается и сортируется список модулей Metasploit, основанных на вашем поисковом запросе. Как только подходящие модули будут выбраны, AutoSploit начнет прогонять их один за другим по полученному вами списку обнаруженных целей».
Одним словом, скрипт-кидди по всему миру определенно должны обрадоваться релизу AutoSploit. Сам Vector тоже понимает, что его инструмент вряд ли будет использоваться всеми во благо, поэтому в репозитории опубликовано предупреждение, согласно которому работу AutoSploit очень легко отследить. Автор подчеркивает, что с точки зрения скрытности и «оперативной маскировки» использование AutoSploit – скверная идея.
Тем не менее, подобный релиз не мог остаться незамеченным среди ИБ-специалистов. «Коллеги по цеху» уже подвергли Vector жесткой критике. К примеру, основатель компании Tao Security Ричард Бежтлич (Richard Bejtlic) пишет в твиттере следующее, обращаясь к Vector:
«В этом релизе не было никакой нужды. Привязка к Shodan – это уже переход граней. Нет никаких причин оставлять инструмент для массовой эксплуатации публичных систем там, где до него доберутся скрипт-кидди. Если вы можете что-то сделать, это еще не означает, что поступать так будет разумно. Все это закончится очень плачевно».
Однако непохоже, что создателя AutoSploit смущает такая позиция коллег.
«Я, конечно, тоже видел критику в комментариях, — сообщил Vector журналистам. — Но такую же критику можно адресовать любому, кто публикует опенсорсные атакующие инструменты, использующие автоматизацию. Их, как и многие другие вещи, можно использовать во благо или во зло. Ответственность лежит на самом человеке, который это делает. Лично я верю, что информация должна быть свободной, а еще я фанат опенсорса, так что – почему бы нет?»
Фото: Depositphotos