Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (55)
  • добавить в избранное
    Добавить в закладки

Секретики вашего ПО

Прочитали: 3398 Комментариев: 81 Рейтинг: 108

Уязвимости там, уязвимости здесь, уязвимости всюду… Хакеры «роют», производители ПО выпускают обновления безопасности. Нюансов в этой борьбе много, но сегодня мы остановимся на одном из них, малозаметном.

Современным разработчикам ПО в большинстве случаев уже не нужно жестко экономить на ресурсах, поэтому вместо разработки собственных (оптимизированных) модулей многие используют уже готовые. А то и вставляют целиком сторонние дистрибутивы. Так, достаточно часто прямо в составе дистрибутивов идут базы данных – разработка современной БД займет огромное количество времени, и смысла тратить время на ее создание и отладку очевидно нет. И вот тут пользователей может поджидать «засада».

Устанавливая ПО, логично сразу позаботиться о его безопасности («Антивирусная правДА!» не устает повторять: установите свой, надежный пароль вместо того, что есть по умолчанию). Но все ли задумываются о безопасности стороннего ПО?

Проводя тестирование на проникновения в разных компаниях, я часто встречал открытый 3050/tcp порт базы данных Firebird (далее FB) с логином и паролем по умолчанию: «SYSDBA;masterkey». Изучая данные хосты, я выяснил, что это могут быть совершенно разные решения и программы, использующие FB: от бухгалтерского ПО и CRM-систем до систем видеонаблюдения и контроля доступа, и даже ДБО. Через данный порт доступна вся БД соответствующего ПО, и, редактируя ее, можно влиять на логику работы приложения.

В БД обычно хранятся логины и пароли для доступа к функционалу через графический интерфейс самой программы, значит, прочитав их, можно воспользоваться полным функционалом самого приложения через красивый графический интерфейс, изначально не зная ни одного логина и пароля к данной системе.

https://habrahabr.ru/post/277279/

В статье по ссылке приведен список возможно уязвимых организаций. Скажем прямо – внушает!

Насколько опасна данная ситуация? В большинстве случаев для получения доступа ко встроенным компонентам нужно быть локальным пользователем – те же базы данных не должны по умолчанию быть видимыми из сети. Но если злоумышленник проник в сеть или в ней завелся недобросовестный пользователь…

Давайте разберем, насколько сложно воспользоваться данной уязвимостью. Я считаю, что для этого не нужно владеть какими-то особыми знаниями, все делается общедоступными инструментами и за пару минут.

Найти сервер FireBird

Первое, что очевидно будет делать злоумышленник, это искать во внутренней сети компании открытый 3050/tcp порт. Для этого можно скачать программу nmap ( nmap.org/download.html ) и запустить с такими ключами из консоли cmd:

nmap -sS -p3050 --open 192.168.0.0/24

В ответ через некоторое время nmap выведет все открытые порты 3050/tcp, которые нашел в сети 192.168.0.0/24:

#drweb

После того как мы выявили порты ФБ, нужно к ним подключиться. Логин и пароль мы знаем, в этом и заключается уязвимость, а путь к БД будет использоваться стандартный с очень высокой долей вероятности.

#drweb

Таким образом, мы подключились к БД напрямую и можем делать все, что хотим, даже то, что не позволяет сделать официальный интерфейс администрирования.

Самый банальный и безобидный риск использования данной уязвимости — правка сотрудниками логов своего рабочего времени. Я сам так делал, когда работал в одной из компаний, где стоит уязвимый СКУД. Успешно правил опоздания и уходы раньше времени, и руководство знало об этом, но никак не могло это проконтролировать или пресечь. Доходило до того, что СКУД мог показать мое присутствие на работе, когда я вообще не вышел на работу в этот день. Соответственно, здесь риск для работодателя: потеря человеко-часов и несоблюдение дисциплины среди сотрудников.

Еще один вероятный вектор — это изменение профиля доступа самому себе сотрудником компании. Например, у меня на прошлом месте работы было установлено ограничение времени, и если не выйти из здания до определенного часа, то останешься запертым внутри. Приходилось звонить на охрану и выслушивать ругательства. Поэтому я себе поменял профиль доступа на другой существующий без ограничения по времени, вернее, без ограничений вообще, и мог ходить свободно хоть в кабинет гендиректора. Соответственно, ещё один риск — проникновение сотрудника в любое время и в любое охраняемое СКУДом помещение для шпионажа, кражи или других злонамеренных действий.

Создание новых пропусков. Злоумышленник может принести свою карту-доступа и занести ее идентификатор в БД как нового сотрудника или, что еще хуже, привязать ее к существующему сотруднику компании. При этом к новой карте можно прикрепить любое фото, чтобы не вызвать подозрение у бдительной охраны на КПП. Риск — проникновение на охраняемую территорию злоумышленника под видом легального сотрудника компании.

Саботаж или отказ в доступности(DoS) — имея доступ к БД, злоумышленник может сменить все пароли всех операторов СКУД, чтобы отстранить их от управления СКУДом и заблокировать все двери на подконтрольной СКУДу территории. Это полностью парализует перемещение сотрудников между помещениями и, как следствие, остановит важные бизнес-процессы. Вернуть систему в контролируемое состояние не удастся, а отключение СКУД полностью сделает все двери открытыми. Представьте, что такая атака случится, когда на вашей территории будут гостить важные клиенты, которые вместе с вами окажутся запертыми.

Комплексная атака, видеонаблюдение. Многие СКУДы поддерживают интеграцию с системами видеонаблюдения или напрямую подключают к себе видеокамеры наблюдения. Таким образом, злоумышленник параллельно несанкционированному проникновению способен отключить произвольную камеру, и система видеонаблюдения не зафиксирует действий нарушителя. Кстати, некоторые производители СКУД имеют свои системы видеонаблюдения, которые уязвимы так же, как и их СКУДы. Но так как комплексное исследование систем видеонаблюдения я не проводил, поэтому подробней рассказывать и перечислять не буду. Также, наверняка, будет возможна и подмена картинки с камеры, ведь можно подменить одну камеру в БД на другую “ненастоящую”, которая будет транслировать в цикле кусок подменённой картинки.

Вот так и живем…

#уязвимость #эксплойт #пароль #безопасность

Dr.Web рекомендует

Документация создается для того, чтобы ее читали. Игнорировать ее – зло. Современные программные продукты – это «монстры», и что у них внутри – до конца не знают подчас и сами разработчики. В итоге:

  • Если вы что-то устанавливали, не поленитесь и проконтролируйте список установленного ПО – возможно, там появится что-то неожиданное.
  • Если установленное вами ПО использует сторонние программы – настройте и их безопасность. И смените пароли!
  • Узнайте, обновляется ли такое встроенное ПО.
  • Изолируйте ПО в отдельных сегментах сети, чтобы до него не добрались хакеры.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: