От ERP к SCADA. Туда и обратно

Две истории одного пентеста

Сергей ГордейчикТехнический директорPositive Technologies

Однажды в Позитиве…

Sale: Нужно провести Pentest!

Hack Team: Не вопрос…

Шаг 1. Внешний веб-сайт

Уязвимость SQL Injection корпоративного Web-сервера

Получение прав администратора CMS

Уязвимость Local File Inclusion административного интерфейса

Получение прав root узла

Список учетных записей и хэш паролей CMS и ОС

Web-сервер СУБДhttp://web/?id=6329+union+select+id,pwd,0+from...

….SELECT * from news where id = 6329 union select id,pwd,0 from…….

Шаг 1. Внешний веб-сайт - BIA

Уязвимость: отсутствие процессов обеспечения безопасности Web-приложений -> множественные уязвимости корпоративного сайта

Угроза: получение НСД к сайту, ОС и СУБД

Заказчик: сайт-визитка не представляет бизнес-ценности

Риск: незначительный?

Шаг 2. VPN-доступ

Подбор паролей по хэшам ОС и CMS Web-сервера

Сканирование сети, поиск систем удаленного доступа

Использование паролей учетной записи CMStest для подключения к VPN

Соединение с сетью!

Шаг 2. VPN-доступ - BIA

Уязвимость: слабый контроль за правами удаленного доступа (группа AD)

Угроза: получение НСД к сети компании из Интернет

Заказчик: учетная запись временная, прав в сети не имеет

Риск: незначительный?!!!

Шаг 3. Рабочая станция

Сканирование сети

Подбор пароля локальной учетной записи alexeev (User, но с правами на RDP!)

Отсутствие обновления MS10-061 (print spooler, StuxNet)

Получение прав администратора рабочей станции

Шаг 3. Рабочая станция - BIA

Уязвимости:• отсутствие ограничений сетевого доступа• отсутствие контроля конфигураций и учетных записей

рабочих станций• неэффективный процесс управления обновлениями

Угроза: получение прав другого пользователя, удаленный доступ к рабочей станции

Заказчик: ситуация нетипична

Риск: незначительный????!!!!!!

Шаг 4. SAP

Прослушивание сети

Обнаружение трафика SAP DIAG

Раскодирование паролей

Подключение к SAP с правами пользователя

Шаг 4. SAP - BIA

Уязвимости:• отсутствие защиты от MITM-атак• использование незащищенных протоколов (SAP DIAG) без

дополнительной защиты

Угроза: получение НСД к SAP с правами пользователя

Заказчик: большинство сотрудников имеют доступ к SAP, права ограничены

Риск: незначительный????!!!!!!

Шаг 5. Незначительный?!!!

Демо!

Шаг 5. Зарплата гендиректора

Шаг 6. От SAP к SCADA

На ландшафте разработки: SAP* - 06071992

Получение доступа к ОС через транзакцию SM51

Просмотр сетевых соединений, странная сеть 10.50.X.X

Сканируем…

Business Impact Analysis?!!!

Уязвимости:• Отсутствие ограничения сетевого доступа к ландшафту

разработки• Стандартные учетные записи SAP• Ошибки разграничения доступа к опасным транзакциям• Прямой сетевой доступ от SAP в сеть АСУ ТП

Риск…

Заказчик…

В это время в соседней комнате…

PM: 7 заводов… Не хватает ресурсов!

Hack Team: Не вопрос, подключаемся…

Шаг 1. Веб-камеры

Подбор стандартных паролей к Web-камерам видеонаблюдения завода

Активация интерфейса удаленного управления (telnet)

Подключение по telnet

Конфигурация туннеля в сеть

Шаг 1. Веб-камеры - BIA

Уязвимость: отсутствие контроля безопасности систем на сетевом периметре

Угроза: получение НСД к сети компании из Интернет

Заказчик: Камеры? У нас тут выборы недавно показывали, и ничего!

Риск: незначительный?!!!

Шаг 2. Доступ к SCADA

Анализ сетевых маршрутовОпять странная сеть 10.50.X.XСканируем… ModBus!Ландшафт разработки SAP тоже доступен!

Modbus… WinCC…

Где-то мы про это уже слышали…

Ух ты!

Заказчик: система тестовая, можете поиграть

VS

Siemens не устоял перед нашим очарованием…

WinCC DiagAgent – XSS

WinCC DiagAgent - Path Traversal (arbitrary file reading)

WinCC DiagAgent – Buffer overflow

WinCC WebNavigator – XSS & Content Spoofing

WinCC WebNavigator – XPath Injection

WinCC WebNavigator – Path Traversal (arbitrary file reading)

Демо!

Siemens Cyber Emergency Readiness Team (CERT)

Профессиональная команда

За 2 недели запланировали выпуск обновления!• SSA-223158: Multiple Vulnerabilities in WinCC 7.0 SP3: CVE-2012-2596, CVE-

2012-2597, CVE-2012-2598, CVE-2012-2595

Спасибо!

Мы пошли дальше!

Стандарт конфигурации SIMATIC WinCC

Поддержка SCADA в MaxPatrol

Выводы

АСУ ТП отделена от сети: МИФ! • Без постоянного контроля в этом нельзя быть уверенным

• Интеграция ERP и SCADA создают бизнес-мотивацию объединения сетей

SCADA и ERP слишком сложны, чтобы их так просто взломать: МИФ!• Чем сложнее система, тем больше в ней нюансов, больше уязвимостей, выше требования к персоналу

Выводы

Нет незначительных уязвимостей! • Все приведенные примеры использовали тривиальные и распространённые уязвимости

• Для принятия риска надо четко понимать возможные последствия и векторы атаки

Все устранить невозможно!• Но при понимании текущего уровня защищенности можно выбирать наиболее эффективные защитные меры

MaxPatrol – конкуренты отдыхают

Проверок на уязвимости

Анализируемых систем и приложений

Проверок конфигураций

Корпоративных клиентов

Проверок на уязвимости «нулевого дня»

Что мы поддерживаем сейчас?!

Business critical systems ERP, Banking and Billing Systems, SCADA including SAP R/3 and SAP NetWeaver, Siemens SIMATEC WinCC

Security Systems Personal IPS, Firewalls, Antiviruses etc.

Virtualization and Terminal Platforms VMware vSphere/ESX, Microsoft Hyper-V, Citrix XenApp etc.

Infrastructure applications Active Directory, Microsoft Exchange, IBM Lotus, Microsoft IIS, Apache

Что мы поддерживаем сейчас?!

Desktop applications Web Browsers, Office, IM applications

Databases Microsoft SQL, Oracle, IBM DB2, PostgreSQL, MySQL and Sybase

Operating Systems Windows, Mac OS X, Linux, IBM AIX, HP-UX and Oracle Solaris

VoIP, wireless and telecom equipment

Network equipment Cisco, Juniper, Check Point, Arbor, Huawei, Nortel, Alcatel etc.

Новости MaxPatrol

Поддержка VoIP, виртуальных и терминальных систем

Offline-scanner

Compliance • PCI DSS 2.0• ISO 27002• СТО БР ИББС • РД ФСТЭК

Интеграция с различными системами• ArcSight (FlexConnector)• Simantec SIM• RSA Nvision• SkyBox

MaxPatrol Forensic!

Обнаружение закладок и вредоносного кода: сеть, ОС, СУБД, ERP

Контроль нерегламентированной системной и сетевой активности

Расширенный контроль целостности:• База знаний критичных файлов ОС• База знаний образов ОС IOS

Поиск критичной информации

Сергей ГордейчикТехнический директорPositive Technologies

gordey@ptsecurity.ruhttp://www.ptsecurity.ruhttp://sgordey.blogspot.com

От ERP к SCADA. Туда и обратно

Две истории одного пентеста