أدناه في الثريد، أذكر -باختصار قدر الإمكان- واحدة من أضخم الـ Red Team Engagements اللي قمنا فيها مؤخرًا، كانت بالأساس كخليط بين الـ Forensics واالـ Incident Handling والـ Red Teaming.
1. قام فريق أمن المعلومات التابع لـ customer معين، بالتواصل معنا بسبب وجود جهة ما تدّعي قدرتها على قراءة رسائل الـ SMS messages والاتصال من خلال أي رقم يريدونه واستقبال المكالمات من نفس الرقم، يعني سيطرة على الـ SIM بشكل كامل.
الجهة المجهولة طلبت 50,000$ كمبلغ مقابل كشف الثغرة.
الجهة المجهولة طلبت 50,000$ كمبلغ مقابل كشف الثغرة.
2. كانت المهمة المطلوبة منا هي تحديد مكان الثغرة ومحاكاتها، مراقبة الترافيك والـ violations الوارد والصادر، جدير بالذكر أن الشركة أعطتنا صلاحيات كاملة للوصول إلى نظام الـ Qradar الخاص بهم والوصول لكافة سيرفراتها للتحقيق.
3. أول خطوة بدأنا فيها هي أخذ الرقم اللي قام من خلاله الهاكرز بالتواصل مع الشركة، وطلبنا صلاحيات خاصة للوصول لسجل مكالمات الرقم ( هي شركة اتصالات )، وبالفعل تم إعطاءنا سجل للمكالمات ورسائل الـ SMS الخاصة بالرقم، وكان هدفنا البحث عن سلوك غير طبيعي مثل sim swapping, spoofing .. etc
4. أحد أهم الملاحظات كانت أن الرقم كان يرسل رسائل لنفسه، ويعمل مكالمات على نفسه، في ترافيك غير طبيعي، بالتالي خشينا من وجود كارثة في الSIM authentication نفسه، بعد بحث وطلب صلاحيات صعبة، قمنا بأخذ معلومات أن الشركة تستمد نظام الـ authentication من شركة اسمها ericsson.
5. بعد بحث طويل، وإعطاءنا صلاحيات كاملة للوصول للـCRM وغيره، تبيّن لنا أن فرصة وجود خلل أو ثغرة في ال SIM Authentication شبه مستحيل، وأن شركة إيركسون قامت بتأكيد أنهم لم يتلقوا أي case تشبه هذه الcase من قبل، وأن الخلل من شركة ال customer نفسها.
6. الخطوة التالية كانت فحص مواقع الويب الخاصة بالشركة، كان لها تقريبًا 87 domain على الpublic internet، سألنا عن وجود أي تطبيق web يسمح للأشخاص بقراءة رسائلهم أو ما شابه، فكان الرد بـ لا.
لكن هناك أحد المبرمجين لشركة الكستمرز قال معلومة مهمة لنا وهي أنهم يقدمون خدمة eSIM.
لكن هناك أحد المبرمجين لشركة الكستمرز قال معلومة مهمة لنا وهي أنهم يقدمون خدمة eSIM.
7. الـ eSIM يعني الشريحة الإلكترونية، سألته عن مكان تقديم الخدمة، وقال من خلال الموقع الرئيسي للشركة، قمت مباشرة بالدخول للموقع حيث الإضافة التي تسمح للشخص بأخذ الـ code الخاص بتفعيل الـ eSIM بنفس رقمه على جواله.
وهنا كانت البداية الحقيقية.
وهنا كانت البداية الحقيقية.
8. مباشرة قمت بpenetration testing process شديدة للإضافة، كانت الإضافة في البداية تطلب منك رقم بطاقة الأحوال مع رقم الهاتف، إن كان رقم بطاقة الأحوال تتوافق مع رقم الهاتف المسجل في قواعد البيانات، تمرّ للمرحلة الثانية، وهي مرحلة إضافة فيديو سيلفي لوجه الشخص مع إرفاق بطاقة أحواله.
9. في المرحلة الأخيرة يرسل pin code لرقم هاتف الشخص، وبعدها يتم إعطاءه QrCode الخاص به لتفعيل الـ eSIM وتكون الـ eSIM بنفس رقم الشخص، لكن بدلًا من الـ SIM الملموسة.
10. تخميني المبدئي كان بوجود ثغرة تسمح لشخص بأخذ eSIM code لأي رقم يريده، بالتالي يستطيع الوصول للرسائل/المكالمات كما تدّعي جهة الهاكرز، وكان هذا الاحتمال الوحيد في نظري.
11. استطعت في البداية تجاوز التحقق من تطابق رقم الهاتف ورقم الهوية من خلال response code manipulation، حيث كانت الـ verification method تعمل على أخذ الـ response من api وترسله لـ api أخرى، ما يتيح للattacker بتعديل ال response قبل وصوله للbrowser side.
12. في الخطوة الثانية كان مطلوب مني تجاوز الـ eKYC، وهي تقنية تطلب من خلالها إرفاق فيديو سيلفي لك، وتقارنه بصورة بطاقتك الأحوال الشخصية، ثم تقارنهم في قواعد البيانات للتأكد من أن الشخص هو أنت.
قمت بعمل bypass لها من خلال أخذ template لبطاقة الأحوال الشخصية العادية والتعديل عليها
قمت بعمل bypass لها من خلال أخذ template لبطاقة الأحوال الشخصية العادية والتعديل عليها
13. قمت بتعديل رقم البطاقة لرقم بطاقة الضحية وإرفاق صورتي بدل صورته، ثم تصوير نفسي بفيديو سيلفي خاص بي.
تفاجأت بإنه قد تم قبولها وتجاوزها بسهولة، اكتشفت لاحقًا أن التقنية تقوم بمقارنة الفيديو بصورتك على بطاقة الأحوال، حتى لو لم تكن أنت صاحب البطاقة.
تفاجأت بإنه قد تم قبولها وتجاوزها بسهولة، اكتشفت لاحقًا أن التقنية تقوم بمقارنة الفيديو بصورتك على بطاقة الأحوال، حتى لو لم تكن أنت صاحب البطاقة.
14. يعني باختصار، كانت تقوم على التأكد أن رقم الهوية المدرج موجود في ال database ثم التأكد أن الوجه الموجود في فيديو السيلفي مطابق للوجه الموجود في بطاقة الأحوال من خلال الـ AI، وكلها يمكن تعديلها ما سبب ب logical vulnerability قاتلة وكارثية.
15. الخطوة الأخيرة هي أنه تبقى لي عمل bypass للpin code المرسل لجهاز الضحية، كان الـ pin code من 4 أرقام فقط، قمت بعمل brute force بسيط له من خلال burp intruder وتجاوزته بنجاح للحصول على QrCode eSIM الخاص بالضحية.
16. مباشرة قمت بإدخال ال eSIM Code للضحية في جهازي الخاص وحصلت مباشرة على وصول كامل لل SIM الخاصة بالضحية.
قمنا بالتبليغ مباشرة وعمل presentation، تم ترقيع الثغرة وإغلاق ال service حتى إشعار الآخر، وقام الـ customer بنقل الـسيرفر الخاص بموقعهم الرئيسي بDMZ شركتنا كخدمة مدفوعة.
قمنا بالتبليغ مباشرة وعمل presentation، تم ترقيع الثغرة وإغلاق ال service حتى إشعار الآخر، وقام الـ customer بنقل الـسيرفر الخاص بموقعهم الرئيسي بDMZ شركتنا كخدمة مدفوعة.
17. النهاية.
دائمًا في الـ Incidents الكبيرة، تأكد أن هناك ثغرات بسيطة هي السبب في وجود كوارث أمنية في أنظمة الشركات والمؤسسات.
بالتوفيق.
دائمًا في الـ Incidents الكبيرة، تأكد أن هناك ثغرات بسيطة هي السبب في وجود كوارث أمنية في أنظمة الشركات والمؤسسات.
بالتوفيق.
جاري تحميل الاقتراحات...