Исследователь из Wiz Research раскрыл действия в рамках пентеста сетевых ресурсов DeepSeek

Исследователь из Wiz Research под ником Nagli подробно рассказал, какие именно действия выполнялись в рамках пентеста сетевых ресурсов DeepSeek, когда в IT-инфраструктуре китайской компании была обнаружена открытая аналитическая база данных ClickHouse, содержащая, вероятно, тестовую информацию.

Исследователи использовали на целевом корневом домене deepseek[.]com инструменты DNS Discovery. Они запросили общедоступные наборы данных DNS этого домена и собрали известные поддомены. В активной фазе исследователи использовали общедоступные списки слов с сотнями тысяч доменных имён и попытались провести фаззинг и угадать дополнительные допустимые поддомены с deepseek[.]com типа admin.deepseek[.].com с помощью инструмента Puredns.

Кроме того, есть и другие методы, такие как перестановка (например, добавление dev-admin.deepseek[.]com). Цель этого этапа — собрать список допустимых поддоменов и сохранить их все в одном месте. Допустимый поддомен в понимании исследователей — это запись DNS, которая имеет IP-адрес или указывает на другой актив.

После этого у экспертов появился список поддоменов, настроенных с помощью какой-либо записи DNS и принадлежащих атакуемой цели. После этого исследователи сузили область действия до всего, что имеет внешний вид сетевого узла или активно может предоставлять какой-либо вид сервиса (это может быть HTTP-сервер или сетевой компонент, такой как база данных). Для этого они использовали сканирование портов и HTTP-зондирование — в основном проверку внешних воздействий на имена DNS. Для этого был задействован инструмент httpx, который возвращает список DNS-имен, публично доступных и обслуживающих веб-сервера на портах 80 + 443.

Важно отметить, что не все публичные уязвимости обслуживаются либо через HTTP,