Upload
qqlan
View
2.890
Download
0
Embed Size (px)
DESCRIPTION
Citation preview
От ERP к SCADA. Туда и обратно
Две истории одного пентеста
Сергей ГордейчикТехнический директорPositive Technologies
Однажды в Позитиве…
Sale: Нужно провести Pentest!
Hack Team: Не вопрос…
Шаг 1. Внешний веб-сайт
Уязвимость SQL Injection корпоративного Web-сервера
Получение прав администратора CMS
Уязвимость Local File Inclusion административного интерфейса
Получение прав root узла
Список учетных записей и хэш паролей CMS и ОС
Web-сервер СУБДhttp://web/?id=6329+union+select+id,pwd,0+from...
….SELECT * from news where id = 6329 union select id,pwd,0 from…….
Шаг 1. Внешний веб-сайт - BIA
Уязвимость: отсутствие процессов обеспечения безопасности Web-приложений -> множественные уязвимости корпоративного сайта
Угроза: получение НСД к сайту, ОС и СУБД
Заказчик: сайт-визитка не представляет бизнес-ценности
Риск: незначительный?
Шаг 2. VPN-доступ
Подбор паролей по хэшам ОС и CMS Web-сервера
Сканирование сети, поиск систем удаленного доступа
Использование паролей учетной записи CMStest для подключения к VPN
Соединение с сетью!
Шаг 2. VPN-доступ - BIA
Уязвимость: слабый контроль за правами удаленного доступа (группа AD)
Угроза: получение НСД к сети компании из Интернет
Заказчик: учетная запись временная, прав в сети не имеет
Риск: незначительный?!!!
Шаг 3. Рабочая станция
Сканирование сети
Подбор пароля локальной учетной записи alexeev (User, но с правами на RDP!)
Отсутствие обновления MS10-061 (print spooler, StuxNet)
Получение прав администратора рабочей станции
Шаг 3. Рабочая станция - BIA
Уязвимости:• отсутствие ограничений сетевого доступа• отсутствие контроля конфигураций и учетных записей
рабочих станций• неэффективный процесс управления обновлениями
Угроза: получение прав другого пользователя, удаленный доступ к рабочей станции
Заказчик: ситуация нетипична
Риск: незначительный????!!!!!!
Шаг 4. SAP
Прослушивание сети
Обнаружение трафика SAP DIAG
Раскодирование паролей
Подключение к SAP с правами пользователя
Шаг 4. SAP - BIA
Уязвимости:• отсутствие защиты от MITM-атак• использование незащищенных протоколов (SAP DIAG) без
дополнительной защиты
Угроза: получение НСД к SAP с правами пользователя
Заказчик: большинство сотрудников имеют доступ к SAP, права ограничены
Риск: незначительный????!!!!!!
Шаг 5. Незначительный?!!!
Демо!
Шаг 5. Зарплата гендиректора
Шаг 6. От SAP к SCADA
На ландшафте разработки: SAP* - 06071992
Получение доступа к ОС через транзакцию SM51
Просмотр сетевых соединений, странная сеть 10.50.X.X
Сканируем…
Business Impact Analysis?!!!
Уязвимости:• Отсутствие ограничения сетевого доступа к ландшафту
разработки• Стандартные учетные записи SAP• Ошибки разграничения доступа к опасным транзакциям• Прямой сетевой доступ от SAP в сеть АСУ ТП
Риск…
Заказчик…
В это время в соседней комнате…
PM: 7 заводов… Не хватает ресурсов!
Hack Team: Не вопрос, подключаемся…
Шаг 1. Веб-камеры
Подбор стандартных паролей к Web-камерам видеонаблюдения завода
Активация интерфейса удаленного управления (telnet)
Подключение по telnet
Конфигурация туннеля в сеть
Шаг 1. Веб-камеры - BIA
Уязвимость: отсутствие контроля безопасности систем на сетевом периметре
Угроза: получение НСД к сети компании из Интернет
Заказчик: Камеры? У нас тут выборы недавно показывали, и ничего!
Риск: незначительный?!!!
Шаг 2. Доступ к SCADA
Анализ сетевых маршрутовОпять странная сеть 10.50.X.XСканируем… ModBus!Ландшафт разработки SAP тоже доступен!
Modbus… WinCC…
Где-то мы про это уже слышали…
Ух ты!
Заказчик: система тестовая, можете поиграть
VS
Siemens не устоял перед нашим очарованием…
WinCC DiagAgent – XSS
WinCC DiagAgent - Path Traversal (arbitrary file reading)
WinCC DiagAgent – Buffer overflow
WinCC WebNavigator – XSS & Content Spoofing
WinCC WebNavigator – XPath Injection
WinCC WebNavigator – Path Traversal (arbitrary file reading)
Демо!
Siemens Cyber Emergency Readiness Team (CERT)
Профессиональная команда
За 2 недели запланировали выпуск обновления!• SSA-223158: Multiple Vulnerabilities in WinCC 7.0 SP3: CVE-2012-2596, CVE-
2012-2597, CVE-2012-2598, CVE-2012-2595
Спасибо!
Мы пошли дальше!
Стандарт конфигурации SIMATIC WinCC
Поддержка SCADA в MaxPatrol
Выводы
АСУ ТП отделена от сети: МИФ! • Без постоянного контроля в этом нельзя быть уверенным
• Интеграция ERP и SCADA создают бизнес-мотивацию объединения сетей
SCADA и ERP слишком сложны, чтобы их так просто взломать: МИФ!• Чем сложнее система, тем больше в ней нюансов, больше уязвимостей, выше требования к персоналу
Выводы
Нет незначительных уязвимостей! • Все приведенные примеры использовали тривиальные и распространённые уязвимости
• Для принятия риска надо четко понимать возможные последствия и векторы атаки
Все устранить невозможно!• Но при понимании текущего уровня защищенности можно выбирать наиболее эффективные защитные меры
MaxPatrol – конкуренты отдыхают
Проверок на уязвимости
Анализируемых систем и приложений
Проверок конфигураций
Корпоративных клиентов
Проверок на уязвимости «нулевого дня»
Что мы поддерживаем сейчас?!
Business critical systems ERP, Banking and Billing Systems, SCADA including SAP R/3 and SAP NetWeaver, Siemens SIMATEC WinCC
Security Systems Personal IPS, Firewalls, Antiviruses etc.
Virtualization and Terminal Platforms VMware vSphere/ESX, Microsoft Hyper-V, Citrix XenApp etc.
Infrastructure applications Active Directory, Microsoft Exchange, IBM Lotus, Microsoft IIS, Apache
Что мы поддерживаем сейчас?!
Desktop applications Web Browsers, Office, IM applications
Databases Microsoft SQL, Oracle, IBM DB2, PostgreSQL, MySQL and Sybase
Operating Systems Windows, Mac OS X, Linux, IBM AIX, HP-UX and Oracle Solaris
VoIP, wireless and telecom equipment
Network equipment Cisco, Juniper, Check Point, Arbor, Huawei, Nortel, Alcatel etc.
Новости MaxPatrol
Поддержка VoIP, виртуальных и терминальных систем
Offline-scanner
Compliance • PCI DSS 2.0• ISO 27002• СТО БР ИББС • РД ФСТЭК
Интеграция с различными системами• ArcSight (FlexConnector)• Simantec SIM• RSA Nvision• SkyBox
MaxPatrol Forensic!
Обнаружение закладок и вредоносного кода: сеть, ОС, СУБД, ERP
Контроль нерегламентированной системной и сетевой активности
Расширенный контроль целостности:• База знаний критичных файлов ОС• База знаний образов ОС IOS
Поиск критичной информации
Сергей ГордейчикТехнический директорPositive Technologies
[email protected]://www.ptsecurity.ruhttp://sgordey.blogspot.com
От ERP к SCADA. Туда и обратно
Две истории одного пентеста