09 Окт, 2023

Исследование теста на проникновение в правительственную сеть

Защита правительственных сетей в меняющемся мире

Цифровой век открыл эру безграничных возможностей связи и технологических чудес, но вместе с ним пришла и беспрецедентная волна киберугроз, каждая из которых более изощренная и коварная, чем предыдущая. По мере того как киберпреступники развиваются и адаптируются, их тактика вышла за рамки простого неудобства; теперь они представляют собой серьезную и ощутимую угрозу для правительств по всему миру. Последствия успешной кибератаки на правительственные сети далеко идущие, а потенциальное воздействие выходит за пределы цифровой сферы. Национальная безопасность, экономическая стабильность, безопасность и неприкосновенность частной жизни граждан находятся на волоске.

В компании CQR мы стоим как часовые в постоянно обостряющейся битве за кибербезопасность. Будучи специализированной фирмой по кибербезопасности, мы предлагаем полный набор услуг, от проактивной оценки до тщательного обучения, с целью укрепления цифровой обороны. С помощью статей, подобных этой, мы стремимся донести до широких масс важнейшие принципы кибербезопасности, подчеркивая их важность в современном взаимосвязанном мире. В этом материале мы рассмотрим ключевую роль кибербезопасности в правительственных сетях, сосредоточившись на удивительном триумфе - успешном тесте на проникновение, который проливает свет на эволюционирующий ландшафт цифровой защиты.

Создание сцены - установление рамок

Наше сотрудничество с государственным учреждением началось с того, что оно обратилось к нам с важной задачей: оценить уровень безопасности своей сети и цифровых активов. Это агентство осознавало меняющийся ландшафт киберугроз и понимало первостепенную важность защиты своей конфиденциальной информации.

Чтобы обеспечить максимально реалистичную оценку, наша команда специалистов по кибербезопасности отправилась на двухнедельную стажировку на объекты агентства. Здесь им предоставили локальную рабочую станцию, обеспечив доступ к сети на стандартных пользовательских условиях. Такая настройка отражала повседневную работу сотрудника, соблюдающего все политики организации, включая ограничения учетных записей пользователей, брандмауэры и антивирусное программное обеспечение. Мы считали, что необходимо оценивать уязвимости сети с точки зрения, максимально приближенной к реальным условиям, как если бы потенциальный угрожающий субъект проник в организацию в качестве обычного сотрудника.

После выездной фазы наши специалисты продолжали работу еще две недели, работая удаленно с доступом к одной и той же локальной рабочей станции. Такой подход позволил нам провести комплексную оценку независимо от физического местоположения.

Основной целью этого задания было проведение всестороннего теста на проникновение и тщательная оценка системы кибербезопасности агентства. Мы стремились обнаружить уязвимости и слабые места по всему спектру, от критических находок с высоким риском до находок средней и низкой степени серьезности. Наша задача состояла в том, чтобы предоставить правительственному агентству подробный отчет с описанием этих находок, обеспечив ясность и прозрачность наших выводов.

В этой статье мы прольем свет на некоторые из наиболее заметных и интригующих открытий, сделанных в ходе этой работы, не забывая о принципах этического пентестинга и соглашениях о неразглашении (NDA). Хотя мы заменили все реальные данные, пути и имена, чтобы сохранить конфиденциальность, суть наших выводов осталась неизменной.

Вникая в тонкости нашей оценки, мы надеемся предложить нашим читателям ценные идеи и знания, которые в конечном итоге будут способствовать более широкому обсуждению вопросов кибербезопасности в правительственных сетях.

Изучение уязвимостей в системе безопасности

Погружаясь все глубже в суть взаимодействия с сетью правительственного агентства, мы отправляемся в путешествие по царству находок в области безопасности. В этом разделе мы расскажем о ряде открытий, каждое из которых проливает свет на уязвимости и потенциальные риски в инфраструктуре правительственной сети. Эти находки не только подчеркивают критический характер кибербезопасности, но и служат ценным вкладом в непрерывную борьбу за защиту конфиденциальных данных и поддержание национальной безопасности.

Уязвимость № 1
Утечка данных из Elasticsearch

Elasticsearch, несмотря на свою мощь, сопряжен с определенными проблемами безопасности, особенно при неправильной настройке. По умолчанию после установки Elasticsearch предоставляет информацию о данных через веб-интерфейсы на порт 9200. Такая открытость в сочетании с отсутствием надлежащего контроля разрешений на HTTP-соединениях создает потенциальную возможность для утечки данных.

Во время оценки развертывания Elasticsearch в правительственной сети мы обнаружили критическую проблему. Мы обнаружили, что доступ к конфиденциальным данным, в общей сложности 890 000 открытых учетных записей, можно было легко получить с помощью простого HTTP-запроса http://10.15.3.10:9200/_cat/indices/agency_sector1_index_1. Это открытие подчеркнуло срочность устранения уязвимости Elasticsearch.

Последствия этой уязвимости Elasticsearch, связанной с утечкой данных, трудно переоценить. В чужих руках открытая информация может привести к нарушению конфиденциальности, краже личных данных и несанкционированному доступу к секретным правительственным данным. Кроме того, это вызывает опасения по поводу методов обеспечения безопасности, применяемых соответствующим агентством.

Обнаружив уязвимость Elasticsearch, мы сразу же сообщили клиенту о своих результатах, подчеркнув необходимость срочного решения проблемы для предотвращения потенциальной утечки данных. Осознав критичность проблемы, клиент принял оперативные меры по устранению уязвимости еще до подготовки окончательного отчета. Мы рекомендовали немедленно внедрить контроль доступа и меры аутентификации для Elasticsearch. Изолируйте Elasticsearch от публичной сети, шифруйте данные при передаче с помощью TLS, включите комплексный аудит и мониторинг, а также постоянно обновляйте Elasticsearch патчами безопасности.

Уязвимость № 2
Непредсказуемые пароли в правительственных сетях

Использование легко угадываемых паролей представляет собой угрозу, способную нарушить триаду безопасности - конфиденциальность, целостность и доступность системы. Такая уязвимость может подвергнуть систему атакам перебором и по словарю, что потенциально может привести к полной компрометации конфиденциальной информации и системных ресурсов.

Во время недавнего теста на проникновение в правительственную сеть агентства мы обнаружили очевидный недостаток в системе безопасности - повсеместное использование предсказуемых и слабых паролей. Чтобы проиллюстрировать эту уязвимость, мы обнаружили 17 учетных записей пользователей с именем "name.last_name", сопровождаемый паролем "P@ssw0rd.”

Мы получили доступ к учетным записям пользователей с идентифицированным паролем и открыли командную строку (cmd). После этого мы выполнили команду whoami команду, чтобы продемонстрировать несанкционированный доступ. Доказательства подтверждаются прилагаемым скриншотом рабочего стола, на котором видно окно терминала с командой whoami выход.

Эта уязвимость служит ярким напоминанием о критической важности надежного управления паролями в организации. В эпоху, когда киберугрозы постоянно развиваются, использование слабых, легко угадываемых паролей представляет собой значительное упущение в системе безопасности.

Чтобы уменьшить эту уязвимость и укрепить общую безопасность, мы настоятельно рекомендуем ввести строгие требования к сложности паролей, регулярно проводить обучение пользователей правилам использования безопасных паролей и внедрить политику блокировки учетных записей для предотвращения атак методом перебора. Кроме того, мы предложили рассмотреть возможность внедрения многофакторной аутентификации (MFA) для обеспечения дополнительного уровня защиты от несанкционированного доступа.

Организациям также необходимо отказаться от использования предсказуемых имен пользователей, таких как "adam.smith", и вместо этого использовать уникальные, нестандартизированные имена пользователей, чтобы укрепить свою безопасность.

Уязвимость № 3
Учетные данные по умолчанию YSoft SafeQ

В ходе недавнего теста на проникновение в правительственную сеть наша команда обнаружила критический недостаток в панели административной информации YSoft SafeQ. Эта уязвимость позволяла локальным пользователям получать доступ к административной панели, используя учетные данные по умолчанию, что создавало значительный риск для конфиденциальности печатных данных в организации.

Учитывая, что YSoft SafeQ - это мощное корпоративное программное обеспечение, управляющее доступом к множеству принтеров, используемых сотрудниками компании, доступ к распечатанным данным становится потенциально слабым местом для потенциальных злоумышленников или недобросовестных сотрудников, которые могут получить доступ к конфиденциальной информации компании.

Мы открыли веб-портал с адресом "http://10.21.1.200/" - вход в сердце системы YSoft SafeQ. На первый взгляд, страница входа выглядела совершенно обычно, но она хранила в себе секрет - брешь в броне, которая, если оставить ее без присмотра, могла раскрыть конфиденциальные данные агентства.

С чувством предвкушения мы ввели стандартные учетные данные "admin" в качестве имени пользователя и пароля. И точно так же мы получили доступ к административной панели YSoft SafeQ.

Внутри у нас был свободный доступ к просмотру всех печатных документов и к общим папкам и файлам.

Это открытие стало тревожным сигналом для агентства, подчеркнувшим исключительную важность защиты системы YSoft SafeQ.

Клиент понимал, что для защиты его конфиденциальной информации необходимо срочно решить этот вопрос. Осознав важность наших рекомендаций, они не теряли времени на принятие мер. В течение нескольких дней клиент изменил учетные данные по умолчанию для административной учетной записи YSoft SafeQ в соответствии с нашими рекомендациями. Кроме того, был начат процесс обновления версии YSoft SafeQ и сервера Windows, чтобы привести их в соответствие с последними мерами безопасности.

Уязвимость № 4
Вредоносная загрузка файлов

Здесь мы наткнулись на коварный недостаток, который мог привести к хаосу.

Эта брешь в доспехах безопасности агентства проявилась в виде неработающей функции загрузки файлов. Программа, отвечающая за загрузку файлов, не выполняла проверку данных на стороне сервера, что открывало широкие возможности для злоумышленников. Последствия могли быть самыми плачевными: от удаленного выполнения кода до множества других уязвимостей.

Наше путешествие к этой уязвимости началось с безобидной на первый взгляд задачи. Мы перешли на общедоступный сайт агентства, а именно на страницу "Контакты", доступную каждому. Именно здесь появился первый признак проблемы.

В форме загрузки файлов на сайте отсутствовала критически важная проверка на стороне сервера, которая должна была тщательно проверять поступающие данные. При отсутствии этой важной меры безопасности злоумышленник мог тайно загрузить вредоносный файл, замаскированный под безобидный. Например, он может загрузить PHP файл, маскирующийся под безобидный PDF.

Вот тут-то сюжет и закручивается. Вооружившись знаниями об этой уязвимости, мы решили проверить ее на практике. Мы перехватили отправку формы, изменили расширение файла с ".pdf" это ".php," и хитростью изменил тип содержимого на "application/php". Нашей целью было продемонстрировать, насколько уязвима система для подобных манипуляций.

Пример запроса:

Пример вредоносного *.php файла:

Пример ответа сервера:

Наш план принес свои плоды: мы успешно отправили запрос, обманом заставив систему думать, что она получает безвредный PDF-файл, тогда как на самом деле это был потенциально вредоносный PHP-скрипт. Это открытие вызвало шок в агентстве, поскольку оно осознало, что в безопасности его веб-сайта зияет дыра.

Последствия этой уязвимости были очевидны. Чтобы обеспечить целостность своего веб-приложения, агентству нужно было внедрить надежную проверку файлов на стороне сервера. Этот процесс должен включать тщательную проверку типа и содержимого файлов, а веб-сайт должен быть бдительным в отношении вредоносного контента, что является частью стратегии защиты от потенциальных атак.

Этот эпизод нашей одиссеи тестирования на проникновение подчеркивает важность тщательной проверки каждого аспекта веб-безопасности, даже таких, казалось бы, рутинных функций, как загрузка файлов. Это напоминание о том, что в мире кибербезопасности нет мелочей, и ни одна уязвимость не должна оставаться без внимания.

Основные моменты нашего теста на проникновение в правительственные сети

В результате государственного сетевого пентеста выводы по безопасности были классифицированы по степени серьезности:
18 - критический/высокий; 27 - средний; 15 - низкий; 8 - информационный.

Эта классификация дает полное представление о наших открытиях.

Изученные уроки и достигнутые успехи

В мире правительственных сетей, где защита конфиденциальной информации имеет первостепенное значение, недавний тест на проникновение, проведенный нашими экспертами по кибербезопасности, пролил свет на уязвимости, которые могли бы иметь далеко идущие последствия. Исследуя лабиринт защитных средств, мы обнаружили не только критические, высокой, средней и низкой степеней уязвимости, но и некоторые особо заслуживающие внимания угрозы, требующие немедленного внимания.

Одним из таких открытий стала утечка данных в Elasticsearch - уязвимость, которая открывала конфиденциальные данные для потенциальных противников. Эта находка подчеркнула исключительную важность надежного контроля доступа и мер по защите данных.

Кроме того, наша оценка выявила риски, связанные с использованием непредсказуемых паролей в правительственных сетях, что могло сделать сеть уязвимой для атак методом перебора и по словарю. Это стало ярким напоминанием о необходимости строгой политики паролей и многофакторной аутентификации.

Кроме того, проблема YSoft SafeQ Default Credentials выявила потенциальный шлюз для несанкционированного доступа к конфиденциальной информации. Это подчеркнуло важность пересмотра стандартных учетных данных для входа в систему, чтобы предотвратить использование злоумышленниками подобных уязвимостей.

И последнее, но не менее важное: уязвимость Malicious File Upload открыла потенциальный путь для удаленного выполнения кода и других нарушений безопасности. Это открытие подчеркнуло критическую важность проверки ввода и контроля безопасности при загрузке файлов.

The response to our findings was swift and decisive. The client promptly addressed and rectified the most critical vulnerabilities, and a retest was commissioned to validate the effectiveness of these corrective measures. Plans were also set in motion to address the low-severity vulnerabilities, with adjustments to the agency’s security posture underway.

В духе постоянной бдительности мы договорились провести еще один тест на проникновение через год, чтобы убедиться, что защита сети остается устойчивой к эволюционирующим угрозам. Кроме того, было начато обсуждение вопроса о включении в будущие оценки компонента "социальной инженерии", признавая необходимость укрепления не только технической, но и человеческой защиты.

Наше сотрудничество с этим государственным учреждением является примером проактивной позиции, необходимой в условиях постоянно меняющегося ландшафта кибербезопасности. Выявляя и устраняя уязвимости, укрепляя защиту и формируя культуру осознания безопасности, мы способствуем защите критически важной государственной инфраструктуры и конфиденциальности конфиденциальных данных. В конечном счете, удовлетворенный клиент и более защищенная правительственная сеть - наши конечные цели, и этот успешный тест на проникновение сделал нас еще на один шаг ближе к их достижению.

Мы надеемся, что эта статья дала вам ценные сведения о мире безопасности правительственных сетей. Наша миссия не ограничивается обеспечением безопасности сетей; мы стремимся делиться знаниями и помогать людям и организациям укреплять свою защиту. Как говорится, "Предупрежден - значит, предупрежден". Оставаясь информированными и проактивными, мы можем коллективно укреплять нашу кибербезопасность и защищать критически важные активы. Спасибо, что присоединились к нам в этом путешествии, и мы с нетерпением ждем возможности поделиться новыми знаниями и опытом в будущем.

Другие Услуги

Готовы к безопасности?

Связаться с нами