Tweet
Il y a beaucoup de facteurs qui peuvent permettre de divulguer une adresse IP. Tous ces facteurs sont regroupés dans la catégorie des risques « Lowest Vulnerability » parce qu'ils ne vont pas exposer une organisation à un risque imminent.
On ne juge pas dangereux que des services publiques tels que Facebook ou AOL puissent avoir leur IP lisible avec un simple terminal de commande.
En outre, il y a beaucoup de façons dont un testeur de pénétration peut trouver une communication IP interne. Certains d'entre eux étudient le code source, la documentation d'aide et les résolutions DNS.
La partie la plus intéressante sur la divulgation d’IP interne est quand il est livré avec une façon interactive. Une façon qu'un simple utilisateur Lambda malveillant peut utiliser pour exploiter le navigateur des victimes et /ou déployer des attaques de phishing.
Il existe une vulnérabilité de divulgation privée IP affectant deux des sous-domaines Facebook (fb.com). Il y a des dossiers publics DNS qui divulguent des adresses IP interne spécifiquement, comme les sous-domaines accounts.fb.com et chat.fb.com.
Reproduction Instructions / Proof of Concept: Si nous essayons de résoudre le accounts.fb.com et chat.fb.com nous obtenons le résultat suivant:
Remarque: Les serveurs de Google Public DNS sont utilisés pour vérifier la résolution DNS.
Ouvrez un simple terminal que ce soit sous Linux ou Windows (All Version) :
Code:
>nslookup
> accounts.fb.com
Serveur : ******
Address: 192.168.1.254
Réponse ne faisant pas autorité :
Nom: accounts.fb.com
Addresses: 2620:10d:c081:10::3455
192.168.52.85
> server 8.8.8.8
Serveur par dÚfaut : google-public-dns-a.google.com
Address: 8.8.8.8
> chat.fb.com
Serveur : google-public-dns-a.google.com
Address: 8.8.8.8
Réponse ne faisant pas autorité :
Nom : chat.fb.com
Address: 192.168.24.122
- Cela peut fournir des informations sur le système d'adressage IP du réseau interne. Cette information peut être utilisée pour mener d'autres attaques.
Le système IP interne apporte des informations que les attaquants et les utilisateurs malveillants peuvent utiliser pour construire des trojans et faire des attaques d'ingénierie sociale à l'encontre de l'entreprise.
- Aussi, un attaquant peut mener une attaque de phishing sur les réseaux locaux en organisant des pages de connexion phishing Facebook à '192.168.57.10' et pointer les utilisateurs vers la plateforme de confiance "accounts.fb.com". Ainsi, les utilisateurs seront signalés à la page de connexion locale hébergé sur ‘192.168.57.10’ et les privilèges peuvent être volés. Sauf les attaques de phishing, l'exploitation du navigateur et de l'ingénierie sociale sont également possibles.
Idées d'ingénierie sociale:
N’est-il pas cool ce nouveau Client Java de Facebook ?
Une autre idée:
C’est génial de simuler le processus de connexion de Facebook et construire un client de chat web qui fonctionnera correctement en transmettant les messages sur le serveur local pour les serveurs de Facebook ?
Effrayant.
La réponse de Facebook:
Thanks for your submission. We don't consider our internal IP space to be a secret and thus do not consider this to be a risk.
Thanks,
Security
Facebook
Thanks,
Security
Une autre communication IP interne se produit au sous - domaine bart.aol.com qui pointe vers 172.21.190.201.
Code:
> bart.aol.com Serveur : google-public-dns-a.google.com Address: 8.8.8.8 Réponse ne faisant pas autorité : Nom : bart.igslb.aol.com Address: 172.21.190.201 Aliases: bart.aol.com
Alors que vous pouvez utiliser des sous-domaines pour résoudre les ips internes dans tous les serveurs DNS internes, il est préférable de ne pas résoudre les ips internes aux serveurs DNS publics.
Source : L’auteur Evangelos Mourikis
Merci, j'ai pensé que cette news qui est encore d'actualité se devait d'être mis ici sous forme d'un article. J'ai essentiellement retranscrit les grandes lignes de ce qui a été mis en avant par l'auteur.
