Rapid7” neseniai atliko įsiskverbimo testus, kad nustatytų vieno iš savo klientų saugumo spragas. Testo metu buvo aptiktos svarbios tinklo segmentavimo ir prieigos nustatymų problemos, kurios turėjo rimtų pasekmių kliento įmonės saugumui.

Atlikdami testą tyrėjai ištyrė, kaip lengvai potencialus domeno įsilaužėlis galėtų naršyti vidaus sistemas ir gauti prieigą prie svarbių duomenų. Tarp užduočių taip pat buvo išsiaiškinti, kiek pažeidžiama kliento „Amazon Web Services” (AWS) infrastruktūra ir ar įmanoma prieiti prie sistemų su slapta informacija.

Pentestuotojams pavyko įsilaužti į domeną vos per pusantros valandos, naudojant įprastus atakų vektorius. Pirmiausia jie pasinaudojo „Responder” „tinklo užnuodijimo” technika, kad gautų žemo lygio tinklo įgaliojimus, o tada pasinaudojo „Active Directory Certificate Services” (ADCS) žiniatinklio registracijos pažeidžiamumais, kad padidintų privilegijas iki domeno administratoriaus lygmens.

Vienas iš svarbiausių dalykų buvo tinkamo tinklo segmentavimo ir prieigos kontrolės politikos nebuvimas. „Rapid7” testuotojai pastebėjo, kad jų įrenginys galėjo pasiekti potinklius, kuriuose yra naudotojų įrenginių, nes nebuvo tinkamai sukonfigūruotas. Tinkama šių nustatymų konfigūracija galėjo gerokai apsunkinti naršymą tinkle ir apsaugoti jautrius išteklius.

Bandymams pasiekti įmonės jautrius „Google Suite” išteklius reikėjo daugiafaktorinio autentifikavimo (MFA), todėl pentestuotojams buvo sunku tai padaryti. Be to, RDP sesijos buvo saugios, todėl buvo užkirstas kelias prieigai iš užpuoliko tinklo. Tačiau įsilaužėliai rado būdą apeiti šias priemones naudodami „Impacket” įrankį, pasinaudodami „wmiexec” scenarijumi, kad ištirtų vieno iš programinės įrangos kūrėjo įrenginių failų sistemą.

Kūrėjo įrenginyje aptiktas paslėptas AWS katalogas su aktyviais įgaliojimais. Šie duomenys leido „Rapid7” tyrėjams gauti administracinę prieigą prie AWS konsolės. Sukurta paskyra suteikė nuolatinę prieigą prie AWS, todėl buvo lengviau toliau skverbtis į bendrovės sistemas.

Užpuolikai įgijo prieigą prie daugelio jautrių išteklių, įskaitant įvykių stebėjimo sistemas ir „GitLab”. Svarbiausias pasiekimas buvo įsiskverbimas į bendrovės paslapčių saugyklą, kuris suteikė prieigą prie apsaugos informacinių įrenginių, teretorijos kamerų ir pažymėjimų spausdinimo sistemos.

Baltieji programišiai gavo visus duomenis, kurių jiems reikėjo skaitmeniniam ženkleliui, suteikiančiam visišką prieigą prie bendrovės objekto, sukurti. Sužinoję spynų ir signalizacijų kombinacijas, taip pat prieigą prie Tinklo operacijų centro (NOC) raktų, užpuolikai būtų galėję netrukdomai patekti į fizines bendrovės patalpas.

Šis „Rapid7” atskleistas atvejis rodo, kaip vidinės programinės įrangos pažeidžiamumai gali turėti rimtų pasekmių bendrovės fiziniam saugumui.

Norint išvengti tokių incidentų, būtina taikyti griežtas priemones svarbiausiam turtui apsaugoti ir suskirstyti į segmentus, visose jautriose sistemose įdiegti daugiafaktorinį autentiškumo patvirtinimą ir reguliariai atlikti įsiskverbimo testus, kad būtų nustatyti ir pašalinti pažeidžiamumai.

Kategorija

Naujienos,

Žymos:

, , , ,