Penetračné testy externej infraštruktúry

​​​​​​​Penetračné testy externej infraštruktúry

V rámci penetračných testov externej infraštruktúry sa kladie dôraz na odhalenie všetkých dostupných sieťových služieb a komponentov a ich detailnú enumeráciu. Zber čo najviac verejných informácií o sieťovej infraštruktúre spoločnosti je pre útočníka kľúčový – tieto informácie sú využívané na odhaľovanie zraniteľností, vykonávanie kybernetických útokov a získanie prístupov do vnútornej siete spoločnosti alebo odcudzenie klientskych dát.​

 
 


Náš príbeh

Počas penetračných testov externej infraštruktúry verejnej správy boli nájdené veľmi závažné nedostatky, ktoré viedli ku kompletnej kompromitácii niekoľkých serverov. V určitých prípadoch sa nám podarilo zreťaziť niekoľko zraniteľností, konkrétne chýbajúce bezpečnostné záplaty, slabú politiku hesiel a nedodržiavanie best practices. 
Spoločnosť umožňovala svojim zamestnancom využívať vzdialené pripojenie pomocou SSL VPN. Nasadená verzia technológie poskytujúca vzdialený prístup však nebola vo svojej poslednej verzii, a teda neobsahovala aktualizácie opravujúce kritické chyby/zraniteľnosti. Jednou z nich bola možnosť neautorizovaného prístupu k citlivým informáciám – vypísanie používateľských mien a hesiel v čitateľnej podobe. Keďže technológia bola napojená na Active Directory/LDAP, išlo o doménových používateľov a ich heslá. Pod identitou ľubovoľného používateľa bolo možné sa do SSL VPN prihlásiť a následne aj pripojiť na dedikovaný stroj zamestnanca – útočník teda, okrem iného, získal neautorizovaný prístup priamo do vnútornej siete, mohol kompromitovať počítač ľubovoľného používateľa, pohybovať sa a útočiť ďalej vo vnútornej sieti atď. 
Ďalšia nájdená kritická zraniteľnosť sa týkala opäť chýbajúcich aktualizácií, v tomto prípade e mailového serveru. Webové rozhranie e-mailového serveru obsahovalo deserializačnú zraniteľnosť umožňujúcu vzdialené spúšťanie kódu na úrovni operačného systému. K úspešnému útoku však boli potrebné prihlasovacie údaje legitímneho doménového používateľa – ako už bolo zmienené, tie sme už mali k dispozícii. Potenciálny útočník teda mohol celkom kompromitovať e-mailový server, pretože služba bežala pod najvyššími oprávneniami. 
Poslednou kritickou zraniteľnosťou bola chybná validácia používateľských vstupov webovej aplikácie slúžiacej ako „HelpDesk“. Aplikácia mala prístup do internetu, bola však zabezpečená autentizačným formulárom a z internetu mali do aplikácie prístup iba vybraní používatelia (administrátori). Nájsť správneho používateľa bolo len otázkou času (pomocou zraniteľnosti z SSL VPN). Po získaní neautorizovaného prístupu bola, celkom rýchlo, nájdená veľmi závažná zraniteľnosť – SQL Injection –, keď je zadaný SQL príkaz interpretovaný a vykonaný databázovým strojom. Útočník tak mohol získať všetky dáta v databáze, a tiež kompletne kompromitovať databázový server a získať prístup do internej infraštruktúry. 
Verejná správa sa nestala, aj vďaka včasnému vykonaniu penetračných testov externej infraštruktúry, predmetom záujmu skutočného útočníka, mohla opraviť nájdené zraniteľnosti a zabezpečiť svoj perimeter.

Popis riešenia​

Vonkajší penetračný test predstavuje simuláciu napadnutia komponentov informačného systému útočníkom z vonkajšieho prostredia. Cieľom testov je zistiť, ako ľahko identifikovateľný cieľ ICT infraštruktúra organizácie predstavuje, aké technické informácie možno získať o verejne dostupných službách, detegovať zraniteľnosti, ktoré môžu byť zneužité na získanie neautorizovaného prístupu k citlivým systémovým zdrojom, a navrhnúť odporúčanie na ich odstránenie. 
Komplexné hodnotenie bezpečnosti testovaných externých komponentov pri penetračnom testovaní zahŕňa nasledujúce kroky: 
  • identifikácia cieľa, 
  • ​zistenie aktívnych služieb, 
  • nájdenie zraniteľností, 
  • exploitácia zraniteľností/získanie prístupu, 
  • eskalácia privilégií a ovládnutie cieľa.

    Pri realizácii penetračných testov vychádzame predovšetkým z aktuálnej metodiky OSSTMM, pričom sa kladie dôraz na nižšie uvedené techniky:​


    Identifikácia cieľa​​

  • Zber čo najväčšieho množstva dostupných informácií (DNS mena, IP adresy, verejne dostupné informácie, evidenčná databáza, trasovanie, odpoveď atď.).

  • Zistenie aktívnych služieb​​

  • Skenovanie otvorených portov a bežiacich služieb, 
  • zistenie typu operačného systému a verzií jednotlivých SW, 
  • dôraz na využitie systémových nástrojov aj automatizovaných skenerov. 

  • Nájdenie zraniteľností​​

  • Na základe výsledkov predchádzajúcich fáz a ďalšieho skenovania zisťujeme výskyt zraniteľností, 
  • snaha o zneužitie zraniteľnosti (exploitácia) a kompromitácia daných služieb/systémov, 
  • využívame výkonné komerčné skenery zraniteľností aj vlastné proprietárne nástroje. 

  • Získanie prístupu​​

  • Snaha o prienik do systémov/služieb za pomoci nájdených zraniteľností z predchádzajúcich fáz, 
  • cieľom je predovšetkým neautorizované získanie citlivých informácií, prístupov do systémov atď.

  • Eskalácia privilégií a ovládnutie​

  • Cieľom je získať plnú kontrolu nad daným aktívom, 
  • prípadné využitie cieľa pre „pivoting“ – útočenie na ďalšie systémy prostredníctvom už kompromitovaných.
  • Prečo zvoliť AEC?​​​

    • ​Patríme medzi zavedené české security firmy, na trhu úspešne pôsobíme už dlhšie než 30 rokov. 
    • Máme viac než 20 rokov skúseností na poli bezpečnosti externej infraštruktúry. 
    • Disponujeme najväčším tímom etických hackerov v ČR, ktorý je zložený z viac než 15 vlastných pracovníkov na hlavný pracovný pomer. 
    • Sme držiteľmi certifikácií CEH, eMAPT, CISSP, OSCP, OSCE a celého radu ďalších. 
    • Náš tím tvoria špecialisti so skúsenosťami zo stoviek projektov. 
    • Načúvame klientom a prispôsobujeme testy ich potrebám a časovým možnostiam. 
    • Sledujeme moderné trendy v oblasti bezpečnosti a technológií. 
    • Pri testovaní kladieme dôraz na dôslednú enumeráciu zadaných cieľov, ktorá vedie k odhaleniu väčšieho množstva zraniteľností.

    Referencie 

    • ​Expobank CZ, a.s. 
    • Poslanecká sněmovna Parlamentu České republiky 
    • Diebold Nixdorf MAILPROFILER Development s.r.o. 
    • ČEPS, a.s.​

    Radi skonzultujeme vašu konkrétnu situáciu​


    Overenie: 

    ​​