Nueva versión de nuestro SIEM Attack Framework, ahora con 7 fabricantes

Desde hace un tiempo, en el equipo de Innovación y Laboratorio de ElevenPaths estamos trabajando en distintos proyectos e investigaciones relacionadas con los aspectos de seguridad de los SIEM (Security Information and Event Managment).  Uno de los proyectos que hemos dado a conocer es una herramienta open source y gratuita llamada SIEM Attack Framework destinada al análisis de seguridad de estas tecnologías, y que nos permite detectar debilidades en la configuración de algunos productos como Splunk, GrayLog y OSSIM.   El año pasado la presentamos en BlackHat Arsenal 2019 , 8dot8 y EkoLabs, donde ganó el premio al mejor laboratorio en la EkoParty2019. 

La herramienta sigue viva y siendo parte de nuestro conjunto de herramientas disponibles para la comunidad. Durante este 2020 hemos contado cómo es la estructura del desarrollo y como hemos ido adjuntando el descubrimiento de nuevos SIEM dentro del framework en un capitulo de nuestros CodeTalks4Devs. En él ayudamos a entender a la comunidad cómo se planteó el desarrollo, cómo aportar o modificar módulos para fines específicos, y también para anticipar que pronto habría sorpresas.

¿Qué hemos añadido en esta actualización?

Hace unos días, hemos lanzado además una actualización de la herramienta en nuestro repositorio añadiendo tres SIEMs más al framework de ataque para tratar de facilitar el trabajo de los equipos Red Team y Pentesting.  En este último update hemos incorporado a los siguientes fabricantes:

• QRadar, para el que hemos implementamos un módulo de pruebas de fuerza bruta para detectar la contraseña del administrador. Debido a que el usuario siempre es admin solo es necesario obtener la contraseña para acceder al entorno web, aunque es un ataque muy lento debido a algunas protecciones. Sin embargo, en la API no se controla la cantidad de intentos, por lo cual es posible realizar un ataque de fuerza bruta para detectar el API-Key para luego extraer la configuración completa de configuración del SIEM y los usuarios de acceso a la base de datos interna llamada ARIEL.

• McAfee SIEM, en este hemos implementado un ataque de diccionario para detectar la contraseña del usuario que viene por defecto llamado “NGCP”.  Debido a ciertas configuraciones de restricción este ataque puede ser lento, y por ello buscamos otra forma de obtener dichas credenciales así que implementamos un nuevo módulo aprovechando que el sistema habilita por defecto el servicio de SSH y que es posible acceder con el usuario root, pero que adicionalmente comparte la misma contraseña que el usuario NGCP. Una vez obtenidos estos datos es posible usar otros tres ataques que nos permiten obtener información de configuración, de servicios, de protecciones configuradas y extraer el archivo shadow del sistema, y con este todos los usuarios del mismo.

• SIEMonster, donde implementamos un módulo de ataque por diccionario similar al comentado en el caso anterior dado este SIEM tiene configurado un mismo usuario para el acceso SSH y para el acceso WEB, llamado “deploy”, por lo cual es posible obtener acceso administrativo tanto al entorno web como por consola. Además, se generaron dos ataques para obtener datos de configuración del sistema y el archivo shadow para tener todos los usuarios del mismo.

• ElasticSIEM, también implementamos un módulo de fuerza bruta por SSH ya que el sistema operativo que se recomienda para su instalación habilita el servicio por defecto.  A su vez, para implementaciones locales no genera un control de acceso al servicio web por defecto, y requiere implementar una serie de configuraciones para que se pueda integrar un mecanismo de autenticación. A su vez, generamos un módulo que permite aprovechar esta posible configuración y acceder al sistema por consola, para obtener más datos de la configuración, aunque muchas veces comprometer este SIEM solo requiera identificarlo dentro de la red.

Además, en esta nueva versión se hicieron cambios en:

• Se modificó la validación de los datos que se ingresan por parte del analista
• Se agregó la posibilidad de especificar un puerto de manera sencilla diferente al que viene por detecto en la instalación de los SIEM, de tal manera que se pueda detectar aunque lo hayan publicado en otro puerto desde la propia herramienta sin tener que recurrir a otras herramientas para ello.
• Se agregaron baterías de test para optimizar el funcionamiento.
• Se hicieron modificaciones que permiten a los usuarios ver qué datos se pueden obtener en algunos de los ataques y comparar con los resultados han obtenido.

Con todos estos cambios y mejoras, la versión 0.2 de la  herramienta brinda la posibilidad de analizar siete diferentes SIEMs de distintas maneras. En algunos de ellos podemos detectar y aprovechar debilidades en su configuración por defecto; en otros, en el uso de la API de gestión; y, en otros, en los servicios expuestos, pero siempre ofreciendo una posibilidad de evaluar la seguridad del sistema.