-
добавить в избранное
Секретики вашего ПО
13 февраля 2018
Уязвимости там, уязвимости здесь, уязвимости всюду… Хакеры «роют», производители ПО выпускают обновления безопасности. Нюансов в этой борьбе много, но сегодня мы остановимся на одном из них, малозаметном.
Современным разработчикам ПО в большинстве случаев уже не нужно жестко экономить на ресурсах, поэтому вместо разработки собственных (оптимизированных) модулей многие используют уже готовые. А то и вставляют целиком сторонние дистрибутивы. Так, достаточно часто прямо в составе дистрибутивов идут базы данных – разработка современной БД займет огромное количество времени, и смысла тратить время на ее создание и отладку очевидно нет. И вот тут пользователей может поджидать «засада».
Устанавливая ПО, логично сразу позаботиться о его безопасности («Антивирусная правДА!» не устает повторять: установите свой, надежный пароль вместо того, что есть по умолчанию). Но все ли задумываются о безопасности стороннего ПО?
Проводя тестирование на проникновения в разных компаниях, я часто встречал открытый 3050/tcp порт базы данных Firebird (далее FB) с логином и паролем по умолчанию: «SYSDBA;masterkey». Изучая данные хосты, я выяснил, что это могут быть совершенно разные решения и программы, использующие FB: от бухгалтерского ПО и CRM-систем до систем видеонаблюдения и контроля доступа, и даже ДБО. Через данный порт доступна вся БД соответствующего ПО, и, редактируя ее, можно влиять на логику работы приложения.
В БД обычно хранятся логины и пароли для доступа к функционалу через графический интерфейс самой программы, значит, прочитав их, можно воспользоваться полным функционалом самого приложения через красивый графический интерфейс, изначально не зная ни одного логина и пароля к данной системе.
В статье по ссылке приведен список возможно уязвимых организаций. Скажем прямо – внушает!
Насколько опасна данная ситуация? В большинстве случаев для получения доступа ко встроенным компонентам нужно быть локальным пользователем – те же базы данных не должны по умолчанию быть видимыми из сети. Но если злоумышленник проник в сеть или в ней завелся недобросовестный пользователь…
Давайте разберем, насколько сложно воспользоваться данной уязвимостью. Я считаю, что для этого не нужно владеть какими-то особыми знаниями, все делается общедоступными инструментами и за пару минут.
Найти сервер FireBird
Первое, что очевидно будет делать злоумышленник, это искать во внутренней сети компании открытый 3050/tcp порт. Для этого можно скачать программу nmap ( nmap.org/download.html ) и запустить с такими ключами из консоли cmd:
nmap -sS -p3050 --open 192.168.0.0/24
В ответ через некоторое время nmap выведет все открытые порты 3050/tcp, которые нашел в сети 192.168.0.0/24:
После того как мы выявили порты ФБ, нужно к ним подключиться. Логин и пароль мы знаем, в этом и заключается уязвимость, а путь к БД будет использоваться стандартный с очень высокой долей вероятности.
Таким образом, мы подключились к БД напрямую и можем делать все, что хотим, даже то, что не позволяет сделать официальный интерфейс администрирования.
Самый банальный и безобидный риск использования данной уязвимости — правка сотрудниками логов своего рабочего времени. Я сам так делал, когда работал в одной из компаний, где стоит уязвимый СКУД. Успешно правил опоздания и уходы раньше времени, и руководство знало об этом, но никак не могло это проконтролировать или пресечь. Доходило до того, что СКУД мог показать мое присутствие на работе, когда я вообще не вышел на работу в этот день. Соответственно, здесь риск для работодателя: потеря человеко-часов и несоблюдение дисциплины среди сотрудников.
Еще один вероятный вектор — это изменение профиля доступа самому себе сотрудником компании. Например, у меня на прошлом месте работы было установлено ограничение времени, и если не выйти из здания до определенного часа, то останешься запертым внутри. Приходилось звонить на охрану и выслушивать ругательства. Поэтому я себе поменял профиль доступа на другой существующий без ограничения по времени, вернее, без ограничений вообще, и мог ходить свободно хоть в кабинет гендиректора. Соответственно, ещё один риск — проникновение сотрудника в любое время и в любое охраняемое СКУДом помещение для шпионажа, кражи или других злонамеренных действий.
Создание новых пропусков. Злоумышленник может принести свою карту-доступа и занести ее идентификатор в БД как нового сотрудника или, что еще хуже, привязать ее к существующему сотруднику компании. При этом к новой карте можно прикрепить любое фото, чтобы не вызвать подозрение у бдительной охраны на КПП. Риск — проникновение на охраняемую территорию злоумышленника под видом легального сотрудника компании.
Саботаж или отказ в доступности(DoS) — имея доступ к БД, злоумышленник может сменить все пароли всех операторов СКУД, чтобы отстранить их от управления СКУДом и заблокировать все двери на подконтрольной СКУДу территории. Это полностью парализует перемещение сотрудников между помещениями и, как следствие, остановит важные бизнес-процессы. Вернуть систему в контролируемое состояние не удастся, а отключение СКУД полностью сделает все двери открытыми. Представьте, что такая атака случится, когда на вашей территории будут гостить важные клиенты, которые вместе с вами окажутся запертыми.
Комплексная атака, видеонаблюдение. Многие СКУДы поддерживают интеграцию с системами видеонаблюдения или напрямую подключают к себе видеокамеры наблюдения. Таким образом, злоумышленник параллельно несанкционированному проникновению способен отключить произвольную камеру, и система видеонаблюдения не зафиксирует действий нарушителя. Кстати, некоторые производители СКУД имеют свои системы видеонаблюдения, которые уязвимы так же, как и их СКУДы. Но так как комплексное исследование систем видеонаблюдения я не проводил, поэтому подробней рассказывать и перечислять не буду. Также, наверняка, будет возможна и подмена картинки с камеры, ведь можно подменить одну камеру в БД на другую “ненастоящую”, которая будет транслировать в цикле кусок подменённой картинки.
Вот так и живем…
#уязвимость #эксплойт #пароль #безопасностьАнтивирусная правДА! рекомендует
Документация создается для того, чтобы ее читали. Игнорировать ее – зло. Современные программные продукты – это «монстры», и что у них внутри – до конца не знают подчас и сами разработчики. В итоге:
- Если вы что-то устанавливали, не поленитесь и проконтролируйте список установленного ПО – возможно, там появится что-то неожиданное.
- Если установленное вами ПО использует сторонние программы – настройте и их безопасность. И смените пароли!
- Узнайте, обновляется ли такое встроенное ПО.
- Изолируйте ПО в отдельных сегментах сети, чтобы до него не добрались хакеры.
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
23:36:35 2018-08-02
Неуёмный Обыватель
03:48:13 2018-06-14
anatol
12:27:24 2018-04-02
vasvet
23:16:57 2018-03-18
AntonIT
14:49:06 2018-03-14
Скорее всего оочень плохим безопасникам)))
Fix
23:31:50 2018-02-18
— Да,Вячеслав.
imperis
12:37:11 2018-02-16
Вячeслaв
10:52:06 2018-02-14
Вячeслaв
10:49:13 2018-02-14
AxooxA
02:07:48 2018-02-14
Необходимость в таком ПО отпадает, если соблюдать рекомендации АВП и не работать под учетной записью администратора.
stavkafon
23:42:22 2018-02-13
Littlefish
23:15:30 2018-02-13
Про изоляцию ПО в отдельных сегментах сети были уже выпуски или ещё будут?
Lia00
23:10:25 2018-02-13
Littlefish
23:08:50 2018-02-13
Andromeda
22:23:34 2018-02-13
vla_va
22:08:03 2018-02-13
Альфа
22:00:18 2018-02-13
В...а
21:51:49 2018-02-13
НинаК
21:37:07 2018-02-13
orw_mikle
21:07:41 2018-02-13
Damir
21:02:37 2018-02-13
kva-kva
20:47:53 2018-02-13
Marsn77
20:46:55 2018-02-13
zsergey
20:46:19 2018-02-13
ek
20:36:11 2018-02-13
Dvakota
20:30:16 2018-02-13
Геральт
20:25:53 2018-02-13
Раш КХ
20:22:05 2018-02-13
Шалтай Александр Болтай
20:19:50 2018-02-13
Galina X
20:14:03 2018-02-13
Сергей
19:44:19 2018-02-13
Ruslan
18:51:13 2018-02-13
Maat
18:16:42 2018-02-13
Zserg
17:53:16 2018-02-13
mk.insta
17:53:15 2018-02-13
Toma
17:03:47 2018-02-13
duduka
17:03:33 2018-02-13
DrKV
16:06:48 2018-02-13
Littlefish
15:50:55 2018-02-13
Littlefish
15:50:06 2018-02-13
DrKV
15:32:16 2018-02-13
Вот некоторые новости уже обнадёживают: "В России начали готовить специалистов по информационной безопасности" {https://hi-tech.mail.ru/news/GeekBrains-spec/}.
Masha
15:30:48 2018-02-13
DrKV
15:27:13 2018-02-13
eaglebuk
14:58:08 2018-02-13
Biggurza
14:27:28 2018-02-13
Системы контроля и управления доступом (СКУД) - можно сказать сердце любой системы безопасности важных объектов. Легкомысленное отношение к ней недопустимо. Уж лучше без нее, по-старинке: пропуска с фотографией, ночные сторожа с собаками и т.д., чем, как в статье раскрыто, отдать всё на откуп производителям и, того хуже, начальным установкам.
Еще раз убедился, что представителям DrWeb не безразличны и такие системы, как СКУД. А ведь, есть еще и сигнально-пожарные, сигнально-радиационные. И, навскидку предположу, что и они на сотнях предприятий настроены по принципу "поставщик попотел, но настроил" "поставщик знает толк в этом", "работает - не трогай!", "лампочка мигает - закрой газетой". А если в системе не настроен сигнальный блок? А если его отключили преднамеренно удаленно? Что тогда? Вот и горят склады готовой продукции, склады с боеприпасами. А потом заявляют - "по причине короткого замыкания". Думаю, что и короткое замыкание можно организовать удаленно, было бы желание.
Статью и ссылки в ней распечатал, дал на изучение своим коллегам. Читают с интересом, изредка поглядывая на меня, мол, какие еще меры безопасности нам предъявишь, гайки и так трещат, вот-вот резьба сорвется...
vinnetou
14:23:21 2018-02-13
Dmur
14:15:30 2018-02-13
Дмитрий
13:52:23 2018-02-13
Alexander
13:35:30 2018-02-13
Да, есть много "секретиков" в наших таких привычных компьютерах. И беда в том, что кое-кто может знать и воспользоваться ими в своих целях. В статье подробно описаны некоторые последствия такого несанкционированного вмешательства.
Dr.Web рекомендует, как уберечься от таких потерь. На первом месте - изучение документации. Это, действительно так. И надо учитывать, что инструкции пользователя написаны не всегда качественно. Поэтому изучение всех нюансов эксплуатации программы должно стать глубокой исследовательской работой, включая дополнительные источники информации.
Ну, и естественно, без Dr.Web Security Space ни куда, ни ногой.
Vlad
13:29:08 2018-02-13
но веб обновился и я снова под защитой, и не ведаю о горестях. ))))))))