Shodan un moteur de recherche permettant de cibler des éléments potentiellement exploitables

Par Xavier Poli, secuobs.com
Le 25/11/2009

---

Résumé : Shodan est un moteur de recherche référençant les éléments connectés à Internet. En combinant des motifs de recherche (versions vulnérables, interfaces Web, ...) et des opérateurs spécifiques, un attaquant peut obtenir des listes de cibles potentiellement exploitables. - Lire l'article



Shodan est un moteur de recherche se focalisant sur le référencement des éléments connectés au réseau Internet. On y retrouve toute une variété de serveurs, de périphériques ( imprimantes - lien ), et de routeurs dont les adresses IP, et d'autres types d'informations sensibles, sont accessibles à tous. Il est dès lors possible d'utiliser des motifs de recherche caractéristiques pour récupérer des listes d'éléments spécifiques, Honeypots ( lien ) inclus.

De façon similaire aux Google Dorkz ( lien ), une recherche, combinant le nom d'une application et un numéro de version donné, va ainsi autoriser n'importe qui à récupérer les résultats pour les éléments présentant le numéro de version souhaitée de l'application. En définissant de cette façon un numéro de version connu pour ses vulnérabilités, un attaquant va dès lors être en mesure d'obtenir une liste de cibles potentiellement exploitables par l'intermédiaire de cette version de l'application.

Il est possible par exemple que cet attaquant récupère l'ensemble des adresses IP relatives aux serveurs offrant des interfaces intégrées en ligne de commande ( lien ) ou des versions vulnérables du protocole SSH ( lien ). Il en va de même pour les versions faillibles de VNC ( lien & lien ) ou pour un ensemble de services, comme Telnet ( lien ) ou FTP ( lien ), qui ne sont pas caractérisés par le haut niveau de sécurité que leur utilisation confère.

Des recherches sur les versions vulnérables d'Apache ( lien ) et de IIS ( lien ) vont aussi permettre à l'attaquant d'obtenir une liste de serveurs à exploiter pour compromettre les sites Web qu'ils hébergent et diffuser des codes malveillants. Shodan référence par ailleurs un grand nombre d'interfaces HTTP ( lien ) autorisant l'accès à des périphériques de type Webcams ( lien & lien ), matériels/routeurs Cisco ( lien ) et ADSL ( lien ).

A savoir que ces interfaces sont souvent accessibles via les données d'authentification par défaut ou sans que l'attaquant n'ait à s'authentifier du tout. Ce dernier peut de plus se permettre de cibler plus spécifiquement ses éventuelles victimes en stipulant différentes options de recherche comme des codes pays ( lien ), des noms de domaine ( lien ), des étendues d'adresses IP en notation CIDR ( lien ) ou des ports spécifiques.

A noter que pour l'instant seuls les ports FTP, SSH, Telnet et HTTP peuvent être spécifiquement ciblés par cette dernière option. Si Shodan reste en ligne, des modules ne devraient pas tarder à être publiés pour intégrer ses résultats de recherche dans des outils d'audit « populaires ». Metasploit ( lien ) pourrait par exemple être le premier à l'interfacer avec ses modules d'exploitation Autopwn ( lien ) et Brower_autopwn ( lien ).

D'autant plus si des fonctionnalités, permettant par exemple d'exporter les résultats au format XML, venaient à être ajoutées dans un proche avenir. La publication d'une API de recherche est d'ailleurs prévue par l'auteur ( lien ) pour faciliter les accès aux données de Shodan par des applications externes. Selon lui, l'ensemble des données référencées ne seraient par ailleurs pas encore totalement accessibles de façon publique pour le moment.

Shodan ( lien )

Source : Forums remote-exploit.org ( lien )