Rapport från en provtryckning av AS/400

2001-05-01

Den tänkta IBM Business partnern som skulle leverera den IBM iSeries som vi skulle provtrycka drog sig ur. Med mycket kortvarsel lyckades arbetsgruppen för Expeditionen i Marienlyst att få fram en ny IBM Business partner som kunde ställa up.

För att genomföra denna aktivitet, var det inte på något sätt viktigt att namnge den IBM business partner som ställde upp, men eftersom Systeam själva marknadsförde sig inom ramen för denna aktivitet, så vill jag passa på att rikta ett stort tack till dem.

Den maskin som vi fick levererad var en AS/400 modell 170 (proc #2159, 700Mb RAM & 12 Gb DASD) med OS/400 V4R4M0 PTF-nivå 00252 och WebSphere V3R5. Vi hade inte vetskap om detta under provtryckningen. Under resans gång fick vi vetskap om att Systeam hade ett egentillverkat program för att “låsa till” maskinen ytterliggare, något som vi anade eftersom maskinen var förvånansvärt tät.

Maskinen anslöts till ett 10 Mb/s Ethernet som fanns draget i utställningen på Expeditionen i Marienlyst. Till det nätet anslöt vi (Certezza & Vigilante) fyra egna datorer med diverse verktyg.

Inledningsvis körde vi portscanningar för att se vilka tjänster (portar) som maskinen svarade på. Vi kunde identifiera standardportarna för http (TCP80) och DNS (UDP53 & TCP53). Dessutom hittade vi en några statiska portar såsom TCP900, TCP9000 och TCP9001 samt en rad dynamiska portar såsom TCP5140 TCP5142 TCP5148 TCP5156 TCP5158 och TCP5168. Det “luktade” WebSphere. Under portscanningen noterade vid scanntider för scanning av samtliga portar (65.535 st) och 10.000 st. Tiderna var låga, ca 2 min för att scanna samtliga TCP-portar. En orsak till detta är att maskinen skickar RST-paket på de SYN-paket som skickas till okända portar. Om detta hade varit en brandvägg, så hade detta varit negativt. Man brukar frångå standarden, och därmed inte besvara anrop till okända portar. Något som gör portscanning betydligt svårare.

Nästa steg var givetvis att penetrera de upptäckta tjänsterna för att se om dessa hade några sårbarheter. Följande sårbarheter kunde vi identifiera:

WebSphere kraschade vid Denial of Service-attack (data flood) – hög risk
– Verkar kräva en IPL för “komma på fötter” igen
TCP Sequence Number Predictable – medium risk
– Sekvensnumren slumpas i liten variation (nmap ~150)
DNS Zone Transfer – medium risk
– Begränsad till en början (?), fungerade utan begränsningar efter ett tag
Access till DNS programmets stack – medium risk
– Namnservern svarar på den felaktiga förfrågan, men svaret “verkar” ofarligt
IBM http-server ger mycket information – låg risk
– 5769-DG1 Version 4 Release 3 (?!?!?)
– Originalhosten är troligen web.solna.systeam.se 10.0.16.111
Svarar på traceroute – låg risk – Både ICMP och UDP
ICMP timestamp – låg risk

Våra spontana kommentarer efter provtryckningen var följande:

Den testade datorn är tätad