Безопасность холодильников

Дисклеймер гласит, что вся информация представлена исключительно в образовательных целях, все запросы выполняются к имитациям систем, все данные выдуманы, все совпадения случайны.

На самом деле, несмотря на несерьёзный заголовок, в сегодняшнем посте речь пойдёт о результатах аудита одной крупной компании, занятой в области поставки продуктов питания. Аудит был выполнен «по знакомству» и поначалу я не ожидал увидеть ничего особенного, пока на радаре не появились действительно любопытные цели.

Особенностью данной компании является то, что у неё довольно развитая собственная информационная система. Собственный пул IP-адресов, сайт на собственном веб-сервере, собственная же CRM-система, FTP-сервер и многое другое. Словом, как в лаборатории, в сферических идеальных условиях, но вот только не лаборатории.

Вступление.

Как всегда, всё началось с Google. Самые базовые дорки, как то «filetype:xls», не дали ничего интересного. Одним из последних пунктов предварительного сбора информации была попытка обнаружить нечто по адресу «ftp.companydomain.ru», которая неожиданно увенчалась успехом. Да ещё и IP-адрес принадлежит тому же пулу, что и IP-адрес сайта. Проверка подтвердила, что у компании имеется 255 собственных адресов. Естественно, тут же был запущен nmap.

Живых хостов оказалось аж 22 штуки. Несколько маршрутизаторов Cisco с напрочь зафильтрованными портами, непонятные Apache и IIS-серверы с висящими на 80-м порту страницами «site under construction» и открытыми FTP. В общем, полный набор. И всё это дружно торчит в Сеть. После того, как завершилась идентификация ОС в nmap, обнаружилось и совсем уж любопытное устройство с массой странных портов, операционную систему которого, nmap пометил как embedded.

Пульт от холодильника.

Это именно он и оказался. Ну, от холодильников. И не пульт, а блок мониторинга и централизованного управления технологическим оборудованием (в данном конкретном случае, холодильным). Веб-интерфейс управления представляет собой тяжеловесное Flash-приложение, которое запускается дольше чем Linux на моём нетбуке. Во время загрузки можно наслаждаться красивым логотипом производителя. Дальше будет понятно, что это вовсе не реклама.

danfoss

Помимо прочего, порадовал тот факт, что модель устройства была заботливо указана в углу веб-интерфейса, так что на поиск и загрузку документации по устройству ушла всего минута. Итак, смотрим на веб-интерфейс блока управления.

interface0

interface1

К блоку управления подключено множество различных датчиков, информацию с которых беспрепятственно может получать любой желающий. Тут тебе и температура и состояние рефрижераторов и даже вполне подробные настройки электропитания. Не имея желания подробно в этом разбираться, сразу обратился к кнопке «Manual Control» и, что предсказуемо, получил предложение авторизоваться.

before-fail

Ну и ладно. Разумнее всего поиски заветных кодов аутентификации показалось искать в документации к устройству. И чутьё не подвело. Оказалось, что производитель оборудования подобного класса устанавливает заводские пароли не сложнее чем на какой-нибудь домашний роутер. Чтобы управлять дорогостоящим оборудованием, достаточно знать всего 6 цифр, потому что заводская комбинация кодов 12345 и 50 соответственно. Когда я нашёл её в документации, я был уверен, что она подойдёт. И она подошла. Самые деликатные функции выглядят как-то так.

after-fail

Здесь было решено остановиться. Для крупной компании, торгующей продукцией, которая требует определенного температурного режима, тяжеловато в уме подсчитать потенциальные потери от действий, которые можно совершить с применением этой замечательной панели.

На всякий случай, по всем 22 хостам параллельно было запущено сканирование OpenVAS. И там не обошлось без интересных находок.

MS15-034.

MS15-034 — уязвимость нашумевшая. В паблике есть не то что эксплоиты, а целые обучающие видео о том как обнаружить и положить уязвимый сервер под управлением Windows путём отправки единственного запроса. И положить это в лучшем случае, в различных источниках пишут и о том, что некоторые эксплоиты способны к удалённому исполнению потенциально вредоносного кода.

Итак, OpenVAS загорелся красным, MS15-034 для него это однозначно высший балл — 10.0. Иду смотреть порт 80 и обнаруживаю там корпоративную CRM-систему. Из десятка странных полузаброшенных серверов появление уязвимости экстра-класса было допущено именно на сервере, который поддерживает критически важный для компании функционал. Но, честно говоря, после уже увиденного мной пароля от блока Danfoss, это меня совсем не впечатлило.

Мораль.

Вообще-то здесь не появилось ничего принципиально нового. Вся статистика по уязвимостям АСУ ТП была подробно и красочно описана в Positive Research 2015. Разве что вспомнилась одна картинка из инфографики, подготовленной Positive Technologies для иллюстрации своего исследования.

«Сложность получения доступа к критически важным ресурсам со стороны внутреннего нарушителя».

scada-security

Читать о повсеместных уязвимостях дорогостоящего технологического оборудования в докладах экспертов — одно, а воочию убедиться в этом — совсем другое. Кто угодно, будучи хоть слегка «в теме», подтвердит, что в данном случае доступ к критически важному оборудованию получен путём абсолютно нехитрых манипуляций. Для себя я ещё не определился, обидно ли мне, что это совсем не потребовало усилий и навыков или меня пугает то, то это совсем не потребовало усилий и навыков. В любом случае, безопасность АСУ ТП не зря поднимается как категорически важный вопрос и теперь я это понимаю.

Двигаемся к продолжению дилогии.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *