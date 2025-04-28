Mainframes sind in vielen Branchen eine kritische Komponente der IT-Infrastruktur und ermöglichen die Verarbeitung großer Transaktionsvolumina mit hoher Zuverlässigkeit und zahlreichen Sicherheitsmechanismen. Banken, Fluggesellschaften, Hotels und Versicherungsgesellschaften nutzen Mainframe für die Abwicklung von Transaktionen im Zusammenhang mit Banküberweisungen, Kreditkartenzahlungen, Reservierungen und der Bearbeitung von Versicherungsansprüchen.
Wie bei jedem Computersystem sind trotz der fortschrittlichen Sicherheitsfunktionen Fehlkonfigurationen des Mainframe möglich. Aufgrund der Bedeutung der Informationen, die diese Maschinen verarbeiten, ist es unerlässlich, dass die Sicherheit von Mainframe regelmäßig und sorgfältig von Penetrationstestern überprüft wird. Jeder Mainframe ist speziell auf einen bestimmten Anwendungsfall zugeschnitten, sodass es einige Zeit dauern kann, bis ein Penetrationstester sich mit der zu bewertenden Umgebung vertraut gemacht hat. Nach der ersten Erkundungsphase sucht der Tester nach Schwachstellen und Fehlkonfigurationen in der Software und den Anwendungen, die auf dem Mainframe ausgeführt werden.
Es gibt mehrere Penetrationstest-Tools für Mainframes, jedoch handelt es sich hierbei um eigenständige Skripte, die nicht Teil eines multifunktionalen Tools sind. Ein Tester muss Zeit damit verbringen, zu ermitteln, welche Skripte für die Ausführung geeignet sind und wo die Skripte zu finden sind, die in seiner Umgebung am besten funktionieren. Um diese Lücke zu schließen, haben Elizabeth Christensen und ich, beide Praktikanten bei IBM X-Force Red, m-RAY entwickelt, einen automatisierten Schwachstellenscanner für IBM Mainframes mit dem z/OS-Betriebssystem. Er soll Penetrationstestern in der Anfangsphase ihres Einsatzes helfen, indem er häufige Fehlkonfigurationen und Schwachstellen identifiziert. Mit diesem Tool reduzieren Tester den Zeitaufwand für die manuelle Ausführung von Befehlen und die Durchführung von Erkundungen und haben somit mehr Zeit, potenzielle Angriffswege oder Dreh- und Angelpunkte zu verfolgen und Probleme zu identifizieren, bevor ein Angreifer dies tun kann.
m-RAY wurde als leicht erweiterbares Framework konzipiert, das die Konfigurationen verschiedener Dienste auf Schwachstellen überprüft und die Ausführung von Skripten in einer z/OS-Umgebung vereinfacht. Aufgrund der individuellen Anpassbarkeit von Mainframes können Tester die Funktionen konfigurieren, die sie für ihre jeweilige Umgebung am besten geeignet erachten.
Die Liste der zu überprüfenden Fehlkonfigurationen wurde aus dem z/OS RACF Security Technical Implementation Guide (STIG) zusammengestellt. STIGs sind Konfigurationsanforderungen, die vom Verteidigungsministerium zur Sicherung seiner Systeme verwendet werden und auf Empfehlungen des NIST basieren. Unabhängig davon, ob ein Unternehmen zur Einhaltung dieser Anforderungen verpflichtet ist oder nicht, bieten STIGs eine Quelle für Best Practices der Branche für verschiedene Softwareprodukte und bilden die Grundlage für dieses Sicherheitstool. Das Team identifizierte die 25 wichtigsten Fehlkonfigurationen, die für einen Tester den größten Nutzen haben und für Kunden am wichtigsten sind, und implementierte diese dann als Schwachstellenprüfungen.
Beispielsweise überprüft m-RAY, ob die Benutzerberechtigungsstufen in den Unix- und TSO-Umgebungen übereinstimmen, ob SSH für die Verwendung sicherer kryptografischer Algorithmen konfiguriert ist und ob inaktive Konten automatisch gesperrt werden. Derzeit liefert m-RAY Informationen über Fehlkonfigurationen von Mainframes in der Unix System Services-Umgebung und in RACF, der Sicherheitssoftware, die die Benutzerzugriffskontrolle unter z/OS übernimmt. Einige bieten eine definitive Antwort darauf, ob eine bestimmte Fehlkonfiguration im System vorhanden ist, während andere Systeminformationen wie eine Liste der Benutzerkonten bereitstellen, die auf eine bestimmte Ressource zugreifen können. Ein Penetrationstester kann dann gemeinsam mit dem Kunden feststellen, ob der Zugriff ordnungsgemäß eingeschränkt ist.
Neben der Überprüfung von Systemkonfigurationen besteht ein weiteres Ziel von m-RAY darin, die Funktionen bestehender Mainframe-Tools zu konsolidieren. Diese Aufzählungstools werden häufig in REXX geschrieben, einer Skriptsprache für Mainframes. Um eines dieser Skripte während eines Penetrationstests zu verwenden, muss der Tester das Open-Source-Tool finden, es auf seinen Computer herunterladen, von dort auf den Mainframe hochladen, es ausführen und die Ergebnisse interpretieren. Um diesen Vorgang zu optimieren, enthält m-RAY die beiden beliebtesten Open-Source-REXX-Skripte und automatisiert den Prozess des Hochladens und Ausführens des Skripts sowie die anschließende Bereinigung der Umgebung. Tester können dem Tool auch ihre eigenen benutzerdefinierten REXX-Skripte hinzufügen.
Insgesamt kann ein Penetrationstester mit m-RAY viele der Schwachstellenprüfungen automatisieren, die er sonst manuell durchführen müsste, und so den Zeitaufwand für die erste Übersicht über das System reduzieren.
Es gibt mehrere Möglichkeiten, mit einem modernen Mainframe zu interagieren. Die traditionelle Methode ist TSO, die es Benutzern ermöglicht, sich mit einer interaktiven Sitzung zu verbinden und Befehle zu erteilen. Dazu wird in der Regel ein spezieller Terminalemulator verwendet, der über das IBM 3270-Protokoll arbeitet. Die meisten modernen Mainframes verwenden auch SSH, ein Remote-Konnektivitätsprotokoll, das plattformübergreifend eingesetzt werden kann. So können Sie sowohl TSO- als auch UNIX-Befehle ausführen und Aktionen als Teil eines Skripts automatisieren. m-RAY arbeitet über eine SSH-Verbindung zum Mainframe, um die zusätzlichen Funktionen von SSH zu nutzen und plattformspezifische Abhängigkeiten zu vermeiden.
SSH auf dem Mainframe nutzt Unix System Services, eine Funktion von z/OS, die es ermöglicht, für Unix-Systeme geschriebene Programme auszuführen. Mithilfe dieses Protokolls stellt m-RAY eine Verbindung zum Mainframe her und führt Befehle aus, um Informationen für die Überprüfung auf Fehlkonfigurationen zu sammeln. SCP wird verwendet, um REXX-Skripte sicher auf den Mainframe zu kopieren. Die Authentifizierung kann entweder über ein Passwort oder ein Schlüsselpaar erfolgen, um unterschiedlichen Systemkonfigurationen gerecht zu werden.
Die Hauptanwendung stellt eine Befehlszeilen-Benutzeroberfläche bereit, richtet Verbindungen ein und beginnt mit der Suche nach Schwachstellen. Der Penetrationstester gibt die IP-Adresse des Mainframes ein, wählt die zu überprüfenden Fehlkonfigurationen aus und gibt eine Reihe von Low-Level-Anmeldedaten ein. Anschließend wird eine Verbindung zwischen m-RAY und dem Mainframe hergestellt, die das Senden von Befehlen und den Empfang von Ergebnissen vom System gewährleistet.
Schwachstellenprüfungen werden in drei Kategorien unterteilt: Unix-Systemdienstprüfungen, Prüfungen über TSO und allgemeine Erkundungen. Nach Auswahl einer dieser Kategorien hat der Prüfer die Möglichkeit, alle Prüfungen auszuführen oder zu konfigurieren, welche Prüfungen er ausführen möchte. Nach Erfassung der Scan-Ergebnisse erstellt m-RAY einen Bericht mit den Ergebnissen und einigen Systeminformationen, die dem Penetrationstester während der Durchführung seines Auftrags als Orientierung dienen können. Die Ausführung eines REXX-Skripts funktioniert ähnlich. Nach Auswahl der Skript-Option kann ein Tester auswählen, welche Skripte er ausführen möchte.
Der wichtigste Aspekt dieses Anwendungsdesigns ist seine Modularität. Da sich die Best Practices der Sicherheit im Laufe der Zeit weiterentwickeln, wird es erforderlich sein, Überprüfungen für neue Fehlkonfigurationen hinzuzufügen und bestehende zu modifizieren. Neue Überprüfungen und Skripte können durch Modifizieren einer enthaltenen Vorlage hinzugefügt werden und erfordern lediglich das Wissen, welche Befehle ausgeführt werden müssen, um die relevanten Informationen zu sammeln. Wenn ein Penetrationstester eine neue Prüfung hinzufügen möchte, die die Ausführung eines TSO-Befehls beinhaltet, muss er nicht wissen, wie eine Verbindung zum Mainframe hergestellt wird, sondern lediglich den TSO-Befehl kennen und optional das gewünschte Ergebnis des Befehls. Das Hinzufügen einer neuen Überprüfung sollte weniger als 10 Minuten dauern. Es ist auch möglich, neue Verbindungsprotokolle hinzuzufügen. m-RAY verwendete SSH, da es für die aktuelle Funktionalität am besten geeignet war, aber das Hinzufügen eines weiteren Verbindungsprotokolls wird durch Verbindungsklassen, die eine Standardschnittstelle implementieren, ebenfalls vereinfacht.
m-RAY ist ein Open-Source-Tool, das hier zu finden ist.
Es besteht die Hoffnung, dass dieses Projekt kontinuierlich erweitert wird und über die derzeit 25 implementierten Prüfungen hinaus weitere Prüfungen auf Fehlkonfigurationen und Schwachstellen hinzugefügt werden. Die aktuelle Auswahl wurde so zusammengestellt, dass sie sowohl für Penetrationstester als auch für die Kunden, deren Systeme sie bewerten, den größtmöglichen Nutzen bietet. In Kombination mit den Funktionen bestehender Open-Source-Tools ergibt sich daraus das umfassendste Mainframe-Penetrationstest-Tool, das derzeit verfügbar ist.
