Le scan de vulnérabilité

4 Le scan de vulnérabilité Sommaire Le scan de vulnérabilité de base Scan avec NeXpose L assistant "nouveau site" Le nouvel assistant pour les scans manuels Scan avec Nessus Scanners de vulnérabilité spécialisés Utilisation des résultats de scan pour Autopwning Un scanner de vulnérabilité est un programme automatisé conçu pour rechercher des faiblesses dans les ordinateurs, les systèmes informatiques, les réseaux et les applications. Le programme sonde un système par l envoi de données via un réseau et analyse les réponses reçues, dans le but d énumérer les vulnérabilités présentes sur la cible en prenant pour référence sa base de données de vulnérabilités. Les systèmes d exploitation ont tendance à réagir diversement lorsqu ils reçoivent des paquets réseaux particuliers en raison des différences d implémentation de leurs couches réseaux respectives. Ces réponses uniques servent d empreintes que le scanner de vulnérabilité utilise pour déterminer la version du système d exploitation et même son niveau de patch. Il peut également utiliser un ensemble d informations d authentification pour se connecter au système distant et l énumération des logiciels et des services pour déterminer s ils sont patchés. Avec les résultats obtenus, le scanner présente un rapport décrivant les vulnérabilités détectées sur le système et utile pour les administrateurs réseau et les pentesters. Les scanners de vulnérabilité créent beaucoup de trafic sur un réseau et ne sont donc généralement pas utilisés dans un test de pénétration lorsque l un des objectifs est de passer inaperçu. Si toutefois vous exécutez un test de pénétration et que la furtivité n est pas un problème, un scanner de vulnérabilité peut vous éviter d avoir

44 Metasploit à sonder manuellement les systèmes pour déterminer leurs niveaux de patch et leurs vulnérabilités. Que vous utilisiez un scanner automatique ou que vous le fassiez manuellement, le scan est une des étapes les plus importantes dans le processus de tests de pénétration. Réalisé de manière complète, il fournira le meilleur rendement pour votre client. Dans ce chapitre, nous allons parler d un certain nombre de scanners de vulnérabilité et de la façon dont ils peuvent être intégrés dans Metasploit. Nous allons mettre en évidence certains modules auxiliaires dans le framework Metasploit qui permettent de localiser les vulnérabilités spécifiques des systèmes distants. Le scan de vulnérabilité de base Regardons comment fonctionne un scan au niveau le plus élémentaire. Sur la liste suivante, nous utilisons netcat pour récupérer une bannière de la cible 192.168.1.203. Le banner grabbing consiste à se connecter à un service réseau distant et à récupérer l identification du service (bannière) qui est retourné. De nombreux services réseau tels que le Web, le transfert de fichiers, les serveurs de messagerie, retournent leur bannière soit immédiatement lors de la connexion soit en réponse à une commande spécifique. Ici, nous nous connectons à un serveur web sur le port TCP 80 et émettons une requête GET HTTP qui nous permet de regarder les informations d en-tête que le serveur distant retourne. root@bt:/opt/framework3/msf3# nc 192.168.1.203 80 GET HTTP 1/1 HTTP/1.1 400 Bad Request ❶ Server: Microsoft-IIS/5.1 L information retournée en ❶ nous dit que le système fonctionnant sur le port 80 est un serveur web Microsoft IIS 5.1. Forts de cette information, nous pourrions utiliser un scanner de vulnérabilité (voir Figure 4.1), pour déterminer si cette version d IIS a des vulnérabilités qui lui sont associées et si ce serveur particulier a été mis à jour. Bien sûr, dans la pratique, ce n est pas aussi simple que cela. Les scans de vulnérabilité contiennent souvent de nombreux faux positifs (vulnérabilité signalée là où il n y en a pas) et de faux négatifs (échec de reconnaissance d une vulnérabilité là où il en existe une) en raison de subtiles différences de configuration dans les systèmes et les applications. De plus, les créateurs de scanners de vulnérabilité sont incités à signaler des positifs : plus un scanner de vulnérabilité en trouve, plus il plaira à un acheteur potentiel. Les scanners de vulnérabilité sont aussi bons que leur base de données de vulnérabilités, et ils peuvent facilement être dupés par des bannières trompeuses ou des configurations incohérentes.

Chapitre 4 Le scan de vulnérabilité 45 Jetons un coup d œil à quelques-uns des scanners de vulnérabilité les plus utiles : NeXpose, Nessus et certains scanners spécialisés. Figure 4.1 Résultats du scan de vulnérabilité contre le serveur web cible. Scan avec NeXpose NeXpose est un scanner de vulnérabilité de la société Rapid7 qui scanne les réseaux pour identifier les appareils connectés et qui effectue des contrôles de sécurité pour identifier les faiblesses dans les systèmes d exploitation et les applications. Il analyse ensuite les données scannées et les traite pour l inclusion dans différents rapports. Rapid7 propose plusieurs versions de NeXpose, mais nous allons utiliser l édition communautaire parce qu elle est gratuite. Si vous prévoyez d utiliser commercialement NeXpose, consultez le site Rapid7 (http://www.rapid7.com/vulnerability-scanner. jsp) pour obtenir des informations sur les différentes versions, leurs capacités et leurs tarifs. Notre cible pour ce scan sera un Windows XP SP2 par défaut tel que configuré dans l annexe A. Nous allons d abord effectuer un scan ouvert de notre cible et importer les résultats du scan de vulnérabilité dans Metasploit. Nous terminerons cette section en montrant comment exécuter un scan de vulnérabilité avec NeXpose directement à partir de msfconsole plutôt que d utiliser l interface utilisateur graphique basée sur le Web, ce qui élimine la nécessité d importer un rapport d analyse. Configuration Après avoir installé NeXpose Communauty, ouvrez un navigateur web et accédez à https://<votreadresseip>:3780. Acceptez le certificat NeXpose autosigné et connectez-vous en utilisant les informations d authentification que vous avez créées lors de l installation. Vous devriez maintenant voir une interface identique à celle montrée

46 Metasploit en Figure 4.2 (vous trouverez des instructions d installation complètes pour NeXpose sur le site de Rapid7). Sur la page principale de NeXpose, vous remarquerez un certain nombre d onglets en haut de l interface : L onglet Assets ❶ affiche des détails sur les ordinateurs et d autres appareils sur le réseau après qu ils ont été scannés. L onglet Reports ❷ liste les rapports de scans de vulnérabilité après qu ils ont été générés. L onglet Vulnerabilities ❸ donne des détails sur toutes les vulnérabilités découvertes lors des scans. L onglet Administration ❹ permet de configurer différentes options. Figure 4.2 L écran d accueil initial de NeXpose. Les boutons dans le corps principal de la page permettent d effectuer des tâches courantes telles que la création d un nouveau site ou la mise en place d un nouveau scan de vulnérabilité. L assistant "nouveau site" Avant d effectuer un scan de vulnérabilité avec NeXpose, vous devez configurer un site un ensemble logique de dispositifs comme un sous-réseau spécifique, un ensemble de serveurs, ou même un seul poste de travail. Ces sites seront ensuite analysés par NeXpose, et différents types de scans peuvent être définis pour un site particulier. 1. Pour créer un site, cliquez sur le bouton New Site sur la page d accueil de NeXpose, saisissez un nom pour votre site et une brève description, puis cliquez sur Next. 2. Dans l étape des périphériques (voir Figure 4.3), vous pouvez définir finement vos cibles : ajouter une seule adresse IP, des plages d adresses, des

Chapitre 4 Le scan de vulnérabilité 47 noms d hôtes et plus encore. Vous pouvez également déclarer des périphériques, tels que des imprimantes, à exclure des scans (souvent, les imprimantes n apprécient pas d être scannées. Nous avons vu des cas dans lesquels un scan de vulnérabilité simple a provoqué la création de plus d un million de pages de noir pur placées dans la file d attente pour être imprimées!). Cliquez sur Next lorsque vous avez terminé d ajouter et d exclure des périphériques. 3. Lors de l étape de configuration du scan, vous pouvez choisir parmi plusieurs différents modèles de scan, tels que le test Discovery Scan ou le Penetration Test. Sélectionnez le moteur d analyse que vous souhaitez utiliser ou planifiez un scan automatisé. Pour ce premier exercice, gardez les options par défaut et cliquez sur Next pour continuer. 4. Ajoutez des informations d authentification (credentials) sur le site à scanner, si vous en avez. Ces informations pourront aider à obtenir des résultats plus précis et complets par l énumération en profondeur des politiques système et des logiciels installés sur la cible. 5. Sur l onglet Informations d authentification, cliquez sur le bouton New Login, tapez un nom d utilisateur et un mot de passe pour l adresse IP à scanner, puis cliquez sur Test Login pour vérifier vos informations d authentification, puis enregistrez-les. Figure 4.3 Ajout d un périphérique au nouveau site Nexpose. 6. Enfin, cliquez sur Save pour terminer l assistant du nouveau site et revenir à l onglet Home, qui devrait désormais lister votre site nouvellement ajouté (voir Figure 4.4).

48 Metasploit Figure 4.4 L onglet Home montre le site récemment configuré. Le nouvel assistant pour les scans manuels Avec votre nouveau site configuré, vous êtes maintenant prêt à configurer votre premier scan : 1. Cliquez sur le bouton New Manual Scan (voir Figure 4.4). Vous devriez voir la boîte de dialogue Start New Scan (voir Figure 4.5), qui vous demande les cibles que vous souhaitez scanner ou exclure. Dans cet exemple, nous scannons notre système Windows XP par défaut. 2. Vérifiez votre adresse IP cible à deux fois afin d être sûr que vous n êtes pas sur le point de scanner par inadvertance le mauvais périphérique ou le mauvais réseau, et cliquez sur le bouton Start Now pour lancer le scan. Figure 4.5 La fenêtre NeXpose de configuration du scan.

Chapitre 4 Le scan de vulnérabilité 49 3. NeXpose devrait actualiser la page dynamiquement lors de la progression du scan. Attendez jusqu à ce que l état de Scan Progress et de Discovered Assets affiche Completed (voir Figure 4.6). Sous la section Scan Progress, vous pouvez voir que le seul appareil scanné affiche 268 vulnérabilités détectées. Sous Discovered Assets sont fournies plus d informations sur la cible, comme le nom de l appareil et son système d exploitation. Maintenant, cliquez sur l onglet Reports. Figure 4.6 Le scan et le rapport de NeXpose terminé. L assistant d édition de nouveau rapport Si c est votre première utilisation de NeXpose et que vous ayez terminé un seul scan, l onglet Reports doit montrer que vous n avez généré aucun rapport. 1. Cliquez sur New Report (voir Figure 4.7) pour lancer l assistant de création de nouveau rapport. Figure 4.7 L onglet Reports de NeXpose. 2. Entrez un nom qui vous convient puis, dans le champ Report format, sélectionnez NeXpose Simple XML Export (voir Figure 4.8), de sorte que vous serez en mesure d importer les résultats d analyse dans Metasploit. Vous pouvez choisir parmi différents modèles de rapports et configurer le fuseau horaire si vous faites votre pentest sur la route. Cliquez sur Next lorsque vous êtes prêt à continuer.

50 Metasploit Figure 4.8 Sélection du nom et du format du rapport. 3. Dans la fenêtre suivante, ajoutez les périphériques que vous souhaitez inclure dans le rapport en cliquant sur Select Sites pour ajouter la plage de votre cible scannée (voir Figure 4.9). Puis cliquez sur Save. Figure 4.9 Sélection du site pour une inclusion dans le rapport. 4. Dans la fenêtre Select Devices, sélectionnez les cibles à inclure dans votre rapport puis cliquez sur Save. 5. De retour dans l assistant de configuration de rapports, cliquez sur Save pour accepter les valeurs restantes par défaut pour le rapport. L onglet Reports devrait maintenant lister le rapport nouvellement créé (voir Figure 4.10) [assurez-vous d enregistrer le fichier afin que vous puissiez l utiliser avec le framework]. Figure 4.10 L onglet Reports liste vos rapports.