Исследователь из Wiz Research раскрыл действия в рамках пентеста сетевых ресурсов DeepSeek
Исследователь из Wiz Research под ником Nagli подробно рассказал, какие именно действия выполнялись в рамках пентеста сетевых ресурсов DeepSeek, когда в IT-инфраструктуре китайской компании была обнаружена открытая аналитическая база данных ClickHouse, содержащая, вероятно, тестовую информацию.
Исследователи использовали на целевом корневом домене deepseek[.]com инструменты DNS Discovery. Они запросили общедоступные наборы данных DNS этого домена и собрали известные поддомены. В активной фазе исследователи использовали общедоступные списки слов с сотнями тысяч доменных имён и попытались провести фаззинг и угадать дополнительные допустимые поддомены с deepseek[.]com типа admin.deepseek[.].com с помощью инструмента Puredns.
Кроме того, есть и другие методы, такие как перестановка (например, добавление dev-admin.deepseek[.]com). Цель этого этапа — собрать список допустимых поддоменов и сохранить их все в одном месте. Допустимый поддомен в понимании исследователей — это запись DNS, которая имеет IP-адрес или указывает на другой актив.
После этого у экспертов появился список поддоменов, настроенных с помощью какой-либо записи DNS и принадлежащих атакуемой цели. После этого исследователи сузили область действия до всего, что имеет внешний вид сетевого узла или активно может предоставлять какой-либо вид сервиса (это может быть HTTP-сервер или сетевой компонент, такой как база данных). Для этого они использовали сканирование портов и HTTP-зондирование — в основном проверку внешних воздействий на имена DNS. Для этого был задействован инструмент httpx, который возвращает список DNS-имен, публично доступных и обслуживающих веб-сервера на портах 80 + 443.
Важно отметить, что не все публичные уязвимости обслуживаются либо через HTTP, либо даже через порты по умолчанию, поскольку существуют тысячи команд разработчиков приложений, размещённых на собственном сервере, и хотя у каждой компании свой уникальный характер разработки, именно поэтому крайне важно в основном сканировать все открытые порты (1-65 535) и проверять, не предоставляют ли они какие-либо дополнительные сервисы.
Так было в случае с DeepSeek. Исследователи с помощью инструментов Masscan или Naabu собирали список открытых портов и передали их в httpxдля идентификации открытых веб-серверов.
Просматривая результаты этого действия, эксперты составили список публично доступных HTTP-серверов, принадлежащих DeepSeek. Большинство из них были полностью легитимными, например, их чат-бот, API Docs или веб-сервер статуса. Их внимание привлекли два ресурса: http://oauth2callback.deepseek.com и http://dev.deepseek.com.
Довольно редко можно увидеть, как эти порты обслуживают какие-либо предполагаемые HTTP-веб-серверы для общественных ресурсов, так как чаще всего они используются для процедур разработки и тестирования.
Также эксперты использовали ещё один инструмент, работающий в фоновом режиме – pdnuclei, который просто проверяет, есть ли какие-либо немедленные ошибки конфигурации HTTP и сети на обнаруженных серверах. Они варьируются от учётных данных по умолчанию, неаутентифицированного доступа к порталам, CVE и многого другого. Всё проверяется таким образом, что ложные срабатывания случаются редко, а сканирование не является навязчивым и не может повредить никаким законным операциям атакуемых целей.
Перейдя к хостам, эксперты выяснили, что эти активы работают под управлением ClickHouse, который обычно представляет собой внутреннюю СУБД, используемую для хранения больших объёмов аналитики и различных запросов. После запуска Nuclei на этом активе, чтобы проверить, не прошел ли он аутентификацию или неправильно настроен, выяснилось, что активы этой БД действительно общедоступны для широкого круга пользователей Интернета.
С этого момента проверка уязвимости была довольно простой, если смотреть на API ClickHouse. Исследователи смогли получить доступ к HTTP API, который позволяет напрямую запрашивать базу данных MySQL.
Также экспертами была обнаружена значительная утечка данных, особенно из таблицы log_stream, более 1 млн строк журналов, которые также включали историю чата, ключи API DeepSeek, информацию об инфраструктуре и данные для эксплуатации.
«После простой разведки общедоступной инфраструктуры DeepSeek мы обнаружили общедоступную базу данных ClickHouse, которая была полностью открыта и не требовала никакой аутентификации. Это означало, что любой мог получить доступ к журналам, содержащим реальные сообщения чата, внутренние секреты, служебные данные и потенциально извлечь данные вместе с повышением привилегий на сервере. Как только мы обнаружили уязвимость, мы сразу сообщили об этом команде DeepSeek. Сотрудники компании немедленно ограничили доступ к БД и удалили базу данных из Интернета», — пояснили в Wiz Research.
