Аудити безпеки та тести на проникнення

1
Пентест ланцюга постачання для компанії з виробництва споживчої електроніки

Галузь: Споживча електроніка

Країна: США

Опис проєкту:

Велика компанія з виробництва споживчої електроніки в США звернулася до нас для проведення тестування на проникнення (пентесту) їхньої IT-інфраструктури та партнерських інтеграцій. Основна мета проєкту полягала в оцінці загального рівня інформаційної безпеки компанії та визначенні можливості компрометації ланцюжка поставок.

Проєкт включав такі основні етапи:

  1. Розвідка і збір інформації. Проведення зовнішнього аналізу та збір інформації про цільову систему без попередніх знань про її внутрішній устрій.
  2. Аналіз вразливостей. Використання різних методів та інструментів для пошуку вразливостей в IT-інфраструктурі компанії, а також у процесах постачання і партнерських інтеграціях.
  3. Експлуатація вразливостей. Перевірка можливості експлуатації знайдених вразливостей для оцінки їхньої реальної небезпеки.
  4. Звіт і рекомендації. Підготовка детального звіту з описом усіх виявлених вразливостей, ступенем їхньої критичності та рекомендаціями щодо їхнього усунення.

Результати:

  • Було виявлено кілька критичних вразливостей, які могли б призвести до серйозних наслідків під час експлуатації, включно з великими збитками компанії від атаки «просунута постійна загроза» (APT), аж до повної втрати ноу-хау й банкрутства компанії.
  • Клієнт отримав докладний звіт із рекомендаціями щодо усунення знайдених вразливостей.
  • Проведений пентест дозволив значно підвищити рівень безпеки IT-інфраструктури та розробок компанії.

Особливості проєкту:

Підрозділ досліджень і розробки нашого замовника зберігав ноу-хау про вироби компанії. Тому ми зосередили наші зусилля на аналізі безпеки комп'ютерів і співробітників саме цього підрозділу. Керівництво компанії повністю контролювало наш процес тестування.

Нам вдалося знайти вразливість у сервісі віддаленого доступу, проексплуатувати її та проникнути в DMZ компанії. Далі ми знайшли вразливість у файловому сервері та Active Directory, і проникли на сервер Jira підрозділу досліджень і розробки. У результаті ескалації привілеїв ми отримали доступ, який дозволяв впровадження прихованих закладок на критично важливі сервери компанії, а також потайне вилучення з них конфіденційної інформації.

Наші дії не були виявлені технічними співробітниками компанії, поки керівництво компанії не розпорядилося припинити ескалацію привілеїв, визнавши повне і беззастережне досягнення цілей проекту.

2
Тестування безпеки веб-застосунка та тестування на проникнення для кадрової компанії

Галузь: Staffing & Recruiting

Країна: Австрія

Опис проєкту:

Велика австрійська компанія у сфері рекрутингу звернулася до нас для проведення тестування безпеки веб-застосунків і пентесту. Основна мета проєкту полягала у виявленні та усуненні вразливостей у їхніх веб-застосунках для забезпечення захисту даних і підвищення загальної безпеки.

Проєкт включав такі основні етапи:

  1. Аналіз безпеки веб-застосунків. Проведення комплексного аналізу безпеки веб-додатків, які використовуються компанією.
  2. Тестування на проникнення. Проведення пентесту для виявлення вразливостей і перевірка їх на можливість експлуатації.
  3. Підготовка звіту та рекомендацій. Розробка детального звіту з описом усіх виявлених вразливостей і надання рекомендацій щодо їх усунення.

Результати:

  • Було виявлено кілька критичних вразливостей, які могли б призвести до компрометації даних користувачів.
  • Компанія отримала детальний звіт із рекомендаціями щодо усунення знайдених вразливостей.
  • Впровадження запропонованих заходів дозволило значно підвищити рівень безпеки веб-застосунків компанії.

Особливості проєкту:

Проєкт вирізнявся високим ступенем відповідальності, оскільки компанія обробляла велику кількість персональних даних користувачів різних країн. Наші експерти використовували передові методи та інструменти для тестування безпеки. Це дало змогу виявити й усунути всі критичні вразливості, забезпечивши захист даних користувачів, підвищивши їхню довіру до компанії та кардинально знизивши ризик високих штрафів за порушення безпеки.

3
Тестування максимального навантаження та відмови в обслуговуванні для банківської системи

Галузь: Банківська справа

Країна: Киргизстан

Опис проєкту:

Великий банк у Киргизстані звернувся до нас для проведення тестування максимального навантаження й відмови в обслуговуванні (Performance and Volumetric DDoS Testing) їхніх IT-систем. Основна мета проєкту полягала в перевірці стійкості банківської системи до високих навантажень, а також у забезпеченні її стабільності та безпеки.

Проєкт включав такі основні етапи:

  1. Підготовка тестового середовища. Налаштування та конфігурація тестового середовища для моделювання максимальних навантажень на систему.
  2. Проведення тестування максимального навантаження на банківську систему для виявлення її слабких місць і оцінки стійкості до атак Volumetric DDoS.
  3. Звіт і рекомендації. Розробка детального звіту з описом результатів тестування та надання рекомендацій щодо поліпшення стійкості системи до високих навантажень.

Результати:

  • Було виявлено кілька вразливих місць у системі, які могли б призвести до нестабільної роботи за високих навантажень.
  • Клієнт отримав докладний звіт із рекомендаціями щодо поліпшення стійкості системи.
  • Впровадження запропонованих заходів дало змогу значно підвищити стабільність і безпеку IT-систем банку під час високих навантажень.

Особливості проєкту:

Наші фахівці не одразу змогли досягти відмови цільової системи навіть при придбанні максимально потужного хмарного сервера та запуску різноманітних атак. 

За погодженням із замовником ми орендували реальний ботнет і відновили тестування на новому рівні. Це дозволило нам досягти відмови в обслуговуванні системи за кількома мережевими протоколами. Наші експерти продемонстрували високий рівень професіоналізму та використовували провідні методики навантажувального тестування, DDoS-тестування та хаос-інжинірингу. Це дало змогу успішно виявити всі критичні вразливості, визначити граничні навантаження за кількома параметрами, а також забезпечити стабільність і безпеку систем клієнта.

4
Пентест у режимі «чорний ящик» для американської SaaS-компанії

Галузь: Інформаційні технології та послуги

Країна: США

Опис проєкту:

Провідна американська компанія в галузі SaaS звернулася до нас із метою проведення пентесту в режимі «чорний ящик». Основним завданням проєкту було виявлення вразливостей в IT-інфраструктурі клієнта й забезпечення її захисту від потенційних загроз.

Проєкт включав такі основні етапи:

  1. Розвідка й збір інформації. Проведення розвідки за відритими джерелами (OSINT), зовнішнього аналізу та збір інформації про цільові системи без знань про їхній внутрішній устрій.
  2. Аналіз вразливостей. Використання різних методів та інструментів для пошуку вразливостей у системах.
  3. Експлуатація вразливостей. Перевірка можливості експлуатації знайдених вразливостей для оцінки їхньої реальної небезпеки.
  4. Звіт і рекомендації. Підготовка детального звіту з описом усіх знайдених вразливостей, ступенем їхньої критичності та рекомендаціями щодо їхнього усунення.

Результати:

  • Було визначено типи задіяного ПЗ, і виявлено конфіденційні дані компанії в зовнішніх джерелах, що не входять до її інфраструктури.
  • Було виявлено та підтверджено кілька критичних вразливостей, які могли б призвести до серйозних наслідків під час експлуатації.
  • Клієнт отримав докладний звіт із рекомендаціями щодо усунення знайдених вразливостей, усунув їх своїми силами, і потім ми для перевірки виконали ретест (post-assessment).
  • Проведений пентест дозволив значно підвищити рівень безпеки IT-інфраструктури компанії.

Особливості проєкту:

Цей проєкт був примітний своєю складністю, об'ємом інфраструктури та необхідністю проведення повного тестування без попередньої інформації про інфраструктуру або системи. Замовник не надав жодної інформації, крім діапазону IP-адрес. Проте наші фахівці продемонстрували високий рівень професіоналізму та використовували провідні методики, що дало змогу успішно виявити всі критичні вразливості та витоки інформації, а також забезпечити безпеку клієнта від зовнішніх загроз.

5
Тест на проникнення в режимах «сірий ящик» і «білий ящик» телеком-компанії

Телеком-компанія середнього розміру, мотивована виконувати зовнішні вимоги безпеки, запросила в нас побудову комплексної системи захисту інформації та проведення загальної оцінки безпеки. В якості режимів пентесту замовником було обрано «сірий ящик» та «білий ящик». Цільові об'єкти пентесту: зовнішні сервери, DMZ, Web-додатки, а також внутрішні вузли локальної мережі. Під час проекту були виявлені наступні вразливості та недоліки:

  • Помилки конфігурації мережі, відсутність сегментації (відсутність окремого VLAN для керуючих інтерфейсів пристроїв iLO, IMPI, IP KVM тощо).
  • Слабкі паролі в активному мережному обладнанні.
  • Доступність прихованих ресурсів (ADMIN$, C$, D$ та ін.).

У результаті експлуатації вразливостей були отримані документи, що містять конфіденційні дані. Таким чином, був змодельований несанкціонований доступ зловмисників. Замовник отримав вичерпний звіт про вразливості та способи їх ліквідації.

Дізнайтеся більше про тестування на проникнення.

6
Пентест функціоналу криптовалютної біржі

До нас звернулася компанія, яка планувала вийти на перспективний ринок криптовалют. Для здійснення цієї мети в компанії було розроблено Web-додаток із функціоналом криптовалютної біржі. Перед публікацією додатка в публічному доступі компанією було прийнято рішення виконати для нього аудит інформаційної безпеки методами тестування на проникнення за методологією OWASP. Із цим запитом вони звернулися до нас.

Тестування проводилося в режимі «чорний ящик»: на початковому етапі аудитори мали у своєму розпорядженні лише адресу URL тестової програми.

У ході проведення пентеста були виявлені та підтверджені наступні дії, які могли виконати зловмисники:

  • Скористатися відсутністю фільтрації вхідних даних у функціоналі «кімнати переговорів» і провести атаку XSS на користувача або адміністратора. Це було успішно підтверджено при відкритті діалогу тестової жертви (користувачем або адміністратором, якому було передано повідомлення). Функціонал скрипта може бути будь-яким, наприклад прихований майнінг, підроблена форма аутентифікації тощо, аж до повного контролю над комп'ютером жертви.
  • Скористатися недоліками функціоналу завантаження файлів у web-додаток та отримати доступ до файлової системи сервера (можливість читати, завантажувати, видаляти файли), виконувати на сервері довільні команди, виконувати запити SQL, виконувати з'єднання з інтерфейсу сервера до інших систем, тобто фактично зловмисник отримав би повний контроль над сервером та можливість повної компрометації даних.
  • Після отримання контролю над сервером, скористатися недоліками криптографічного захисту, зокрема, відсутністю контролю цілісності даних проведення транзакцій у додатку, та вносити зміни в баланс рахунку.
  • Обійти перевірку при відправці повідомлень та видати себе за іншого користувача або адміністратора, таким чином, ввести жертву в оману та здійснити шахрайські дії.
  • Ідентифікувати зареєстрованих користувачів.
  • Здійснювати атаки на паролі користувачів.
  • Отримувати несанкціонований доступ до файлів, які завантажили інші користувачі.

Замовник отримав вичерпний звіт про вразливості та способи їх усунення. Після усунення вразливостей аудиторами була проведена перевірка усунення недоліків, виявлених раніше. І тільки після цього web-додаток було опубліковано в Інтернет.

Таким чином, проведення аудиту методами тестування на проникнення позбавило замовника від можливих репутаційних проблем та фінансових збитків.

Дізнайтеся більше про тестування на проникнення.

7
Пентест фінансової організації для відповідності вимогам PCI DSS

Невелика фінансова організація, підключена до міжнародних платіжних систем Visa та Mastercard, зіткнулася з необхідністю виконувати вимоги стандарту PCI DSS. Серед них є вимога регулярного проведення зовнішнього та внутрішнього тестування на проникнення. У результаті аналізу обсягу охоплення інфраструктури (середовища даних власників карток) із замовником були узгоджені детальні параметри зовнішнього пентесту, включаючи режими «сірий ящик» та «чорний ящик», а також перелік цільових об'єктів, які являли собою сервіси та веб-додатки, опубліковані в Інтернет.

У результаті пентесту були виявлені множинні вразливості у веб-додатках (ін'єкції PHP, міжсайтовий скриптинг, прямі посилання на об'єкти, відсутні механізми оновлення ПЗ, конфігурації веб-сервера за замовчуванням, відсутність контролю доступу на рівні функцій, переповнення буфера та помилки в коді веб-додатків).

За результатами проекту не було виявлено реальних шляхів проникнення, а тільки потенційні. Замовник отримав вичерпний звіт про дані шляхи та способи підвищення захищеності інфраструктури. Звіт був виконаний відповідно до вимог PCI DSS, включаючи опис методики тестування на проникнення, яка застосовувалася під час роботи.

Дізнайтеся більше про тестування на проникнення.

8
Внутрішній пентест великого промислового виробництва

Великому заводу з персоналом до 10 тисяч співробітників знадобилося оцінити відповідність внутрішньої інфраструктури ІТ до вимог безпеки. Завод замовив у нас тест на проникнення в режимах «сірий ящик» та «білий ящик». В якості цільових об'єктів пентесту були обрані сервери локальної обчислювальної мережі. Під час проекту були виявлені наступні вразливості та недоліки:

  • Недоліки в процесах моніторингу подій та реагування на інциденти безпеки (відсутність заходів запобігання вторгнень та відновлення після інцидентів).
  • Недоліки управління конфігураціями (безконтрольні тестові та гостьові вузли у корпоративному домені).
  • Недоліки управління доступом та привілеями (відкритий вхід по ssh для стандартного облікового запису root; єдиний обліковий запис адміністратора для управління DC, мережевим обладнанням та користувацьких робочих станцій).
  • Інші технічні вразливості (дозволено авто-виявлення проксі для ПО).

Під час проекту було змодельовано несанкціонований доступ інсайдерів. Замовник отримав вичерпний звіт про вразливості та способи їх ліквідації.

Дізнайтеся більше про тестування на проникнення.

9
Зовнішній тест на проникнення національної мережі аптек

Одна з мереж аптек національного масштабу замовила в нас зовнішній пентест своєї комп'ютерної мережі. Замовником був обраний режим «чорний ящик».

Під час проекту було виявлено, що вся критична інфраструктура ІТ знаходиться за файрволом. Здавалося, немає шансів проникнути. Тоді ми вирішили перевірити точки продажів, і перевірили кілька аптек. В одній із них був маршрутизатор Microtik із паролем за замовчуванням. У цього типу маршрутизаторів порожні паролі за замовчуванням, тому маршрутизатор був «скомпрометований». Маршрутизатор мав OpenVPN, зберігав сертифікати локально та дозволяв сніфінг. Ми перехопили мережевий трафік та знайшли конфіденційну інформацію системи обліку продажів і бухгалтерської системи. Потім ми витягли сертифікати з маршрутизатора, створили фейкову точку продажів та з'єдналися з сервером VPN. Ми представилися звичайною аптекою й таким чином проникли у внутрішню інфраструктуру замовника, яка була захищена файрволом і здавалася непробивною. Ми вивчили внутрішню мережу Active Directory, знайшли сервер SQL із доменною автентифікацією та проникли в нього, використовуючи пароль, попередньо витягнутий за допомогою утиліти mimikatz.

Проект був виконаний із висновком, що проникнення можливе, та рівень інформаційної безпеки замовника низький. Замовник отримав результати оцінки ризиків, інформацію про вразливості та рекомендації про те, як їх усунути, а також як посилити безпеку інфраструктури ІТ.

Дізнайтеся більше про тестування на проникнення.

10
Аудит безпеки промислових ІТ та ОТ для пивзаводу

Під час інвентаризації ІТ- та ОТ-активів великого пивзаводу ми допомогли йому скласти повний реєстр активних пристроїв (комп'ютери, ПЛК, панелі оператора, перетворювачі частоти, керовані та некеровані комутатори тощо). Потім ми перевірили режим доступу до систем та виявили серйозні порушення. Після того ми виконали перевірку наявності паролів на всіх пристроях, які їх підтримують.

Під час аудиту ми перевірили наявність вихідних кодів для всіх програмованих пристроїв. Деякі вихідні коди зберігалися в ненадійному стані. Ми перевірили відповідність їхніх оффлайн- та онлайн-версій, та провели синхронізацію кількох версій. Після цього ми перевірили версії прошивок ПЛК (Siemens S7-315, S7-416, S7-1215, S7-1515, Schneider Electric Quantum, M251) та версій програмного забезпечення HMI/SCADA (WinCC SCADA, Citect SCADA) на предмет наявності критичних оновлень. Також на цьому етапі ми вивчили наявність та якість шифрування всіх мереж, які його підтримують.

Потім ми перевірили всі системи на предмет наявності вірусів, шифрувальників, криптомайнерів та іншого шкідливого ПЗ, а також на предмет технічних вразливостей систем.

Нарешті, ми оцінили ризики та дали рекомендації щодо усунення недоліків і зниження ризиків. Всі результати були оформлені у вигляді докладного звіту з оцінки безпеки.

Дізнатися більше про послуги безпеки промислових ІТ та ОТ, а також про безпеку SCADA.

11
Аналіз інфраструктури підприємства роздрібної торгівлі

У рітейлера середнього розміру були впроваджені внутрішні та зовнішні вимоги інформаційної безпеки. Вони вимагали виконання повного аналізу інфраструктури підприємства, включаючи тести на проникнення в режимах «сірий ящик» і «білий ящик». Під час пентесту були виявлені наступні вразливості та недоліки:

  • Вразливості у веб-додатках (відсутність перевірок валідності запитів у додатках, передача даних незашифрованим каналом HTTP).
  • Недоліки управління привілеями (доменні облікові записи різних сервісів та додатків мали занадто високі привілеї).
  • Можливість підробки електронної кореспонденції (відсутність систем підпису DKIM/DMARC на поштових серверах).
  • Недоліки процесу моніторингу подій безпеки (відсутність налаштування «auditd» щодо подій).
  • Можливість несанкціонованого підключення пристроїв у мережі (DHCP snooping, відсутність port security).

Під час пентесту в якості демонстрації вразливостей був змодельований несанкціонований доступ до мережного обладнання. Замовник отримав повний звіт про вразливості та способи їхньої ліквідації.

Дізнайтеся більше про тестування на проникнення.