3. Шаг 1. Внешний веб-сайт
Уязвимость SQL Injection корпоративного Web-сервера
Получение прав администратора CMS
Уязвимость Local File Inclusion административного интерфейса
Получение прав root узла
Список учетных записей и хэш паролей CMS и ОС
http://web/?id=6329+union+select+id,pwd,0+from...
Web-сервер СУБД
….
SELECT * from news where id = 6329 union select id,pwd,0 from…
….
4. Шаг 1. Внешний веб-сайт - BIA
Уязвимость: отсутствие процессов
обеспечения безопасности Web-
приложений -> множественные
уязвимости корпоративного сайта
Угроза: получение НСД к сайту, ОС и
СУБД
Заказчик: сайт-визитка не представляет
бизнес-ценности
Риск: незначительный?
5. Шаг 2. VPN-доступ
Подбор паролей по хэшам ОС и CMS Web-сервера
Сканирование сети, поиск систем удаленного доступа
Использование паролей учетной записи CMStest для подключения к
VPN
Соединение с сетью!
6. Шаг 2. VPN-доступ - BIA
Уязвимость: слабый контроль за
правами удаленного доступа (группа
AD)
Угроза: получение НСД к сети компании
из Интернет
Заказчик: учетная запись временная,
прав в сети не имеет
Риск: незначительный?!!!
7. Шаг 3. Рабочая станция
Сканирование сети
Подбор пароля локальной учетной записи alexeev (User, но с
правами на RDP!)
Отсутствие обновления MS10-061 (print spooler, StuxNet)
Получение прав администратора рабочей станции
8. Шаг 3. Рабочая станция - BIA
Уязвимости:
• отсутствие ограничений сетевого доступа
• отсутствие контроля конфигураций и учетных записей
рабочих станций
• неэффективный процесс управления обновлениями
Угроза: получение прав другого
пользователя, удаленный доступ к
рабочей станции
Заказчик: ситуация нетипична
Риск: незначительный????!!!!!!
9. Шаг 4. SAP
Прослушивание сети
Обнаружение трафика SAP DIAG
Раскодирование паролей
Подключение к SAP с правами пользователя
10. Шаг 4. SAP - BIA
Уязвимости:
• отсутствие защиты от MITM-атак
• использование незащищенных протоколов (SAP DIAG)
без дополнительной защиты
Угроза: получение НСД к SAP с правами
пользователя
Заказчик: большинство сотрудников
имеют доступ к SAP, права ограничены
Риск: незначительный????!!!!!!
12. Шаг 6. От SAP к SCADA
На ландшафте разработки: SAP* - 06071992
Получение доступа к ОС через транзакцию SM51
Просмотр сетевых соединений, странная сеть 10.50.X.X
Сканируем…
13. Business Impact Analysis?!!!
Уязвимости:
• Отсутствие ограничения сетевого доступа к ландшафту
разработки
• Стандартные учетные записи SAP
• Ошибки разграничения доступа к опасным транзакциям
• Прямой сетевой доступ от SAP в сеть АСУ ТП
Заказчик…
Риск…
14. В это время в соседней комнате…
PM: 7 заводов… Не хватает ресурсов!
Hack Team: Не вопрос, подключаемся…
15. Шаг 1. Веб-камеры
Подбор стандартных паролей к Web-камерам видеонаблюдения
завода
Активация интерфейса удаленного управления (telnet)
Подключение по telnet
Конфигурация туннеля в сеть
16. Шаг 1. Веб-камеры - BIA
Уязвимость: отсутствие контроля
безопасности систем на сетевом
периметре
Угроза: получение НСД к сети компании
из Интернет
Заказчик: Камеры? У нас тут выборы
недавно показывали, и ничего!
Риск: незначительный?!!!
17. Шаг 2. Доступ к SCADA
Анализ сетевых маршрутов
Опять странная сеть 10.50.X.X
Сканируем… ModBus!
Ландшафт разработки SAP тоже доступен!
22. Siemens Cyber Emergency Readiness Team (CERT)
Профессиональная команда
За 2 недели запланировали выпуск обновления!
• SSA-223158: Multiple Vulnerabilities in WinCC 7.0 SP3: CVE-2012-2596, CVE-
2012-2597, CVE-2012-2598, CVE-2012-2595
Спасибо!
23. Мы пошли дальше!
Стандарт конфигурации SIMATIC WinCC
Поддержка SCADA в MaxPatrol
24. Выводы
АСУ ТП отделена от сети: МИФ!
• Без постоянного контроля в этом нельзя
быть уверенным
• Интеграция ERP и SCADA создают бизнес-
мотивацию объединения сетей
SCADA и ERP слишком сложны, чтобы их
так просто взломать: МИФ!
• Чем сложнее система, тем больше в ней
нюансов, больше уязвимостей, выше
требования к персоналу
25. Выводы
Нет незначительных уязвимостей!
• Все приведенные примеры использовали
тривиальные и распространѐнные
уязвимости
• Для принятия риска надо четко понимать
возможные последствия и векторы атаки
Все устранить невозможно!
• Но при понимании текущего уровня
защищенности можно выбирать наиболее
эффективные защитные меры
26.
27. MaxPatrol – конкуренты отдыхают
Проверок на уязвимости
Анализируемых систем и приложений
Проверок конфигураций
Корпоративных клиентов
Проверок на уязвимости «нулевого дня»
28. Что мы поддерживаем сейчас?!
Business critical systems ERP, Banking and Billing
Systems, SCADA including SAP R/3 and SAP
NetWeaver, Siemens SIMATEC WinCC
Security Systems Personal IPS, Firewalls, Antiviruses
etc.
Virtualization and Terminal Platforms VMware
vSphere/ESX, Microsoft Hyper-V, Citrix XenApp etc.
Infrastructure applications Active Directory,
Microsoft Exchange, IBM Lotus, Microsoft IIS, Apache
29. Что мы поддерживаем сейчас?!
Desktop applications Web Browsers, Office, IM
applications
Databases Microsoft SQL, Oracle, IBM DB2,
PostgreSQL, MySQL and Sybase
Operating Systems Windows, Mac OS X, Linux, IBM
AIX, HP-UX and Oracle Solaris
VoIP, wireless and telecom equipment
Network equipment Cisco, Juniper, Check Point,
Arbor, Huawei, Nortel, Alcatel etc.
30. Новости MaxPatrol
Поддержка VoIP, виртуальных и терминальных
систем
Offline-scanner
Compliance
• PCI DSS 2.0
• ISO 27002
• СТО БР ИББС
• РД ФСТЭК
Интеграция с различными системами
• ArcSight (FlexConnector)
• Simantec SIM
• RSA Nvision
• SkyBox
31. MaxPatrol Forensic!
Обнаружение закладок и вредоносного
кода: сеть, ОС, СУБД, ERP
Контроль нерегламентированной системной и
сетевой активности
Расширенный контроль целостности:
• База знаний критичных файлов ОС
• База знаний образов ОС IOS
Поиск критичной информации
32. От ERP к SCADA.
Туда и обратно
Две истории одного пентеста
gordey@ptsecurity.ru
http://www.ptsecurity.ru
http://sgordey.blogspot.com
Сергей Гордейчик
Технический директор
Positive Technologies
Notas del editor
When it comes to the benefits of MaxPatrol, the numbers speak for themselves!The product already knows about over 30-thousand vulnerabilities and – as we heard earlier – our product team find more than 100 new vulnerabilities every month so this figure is constantly risingMore than 1,000 different business systems can be scanned by MaxPatrolMaxPatrol is able to detect more than 5-thousand different configuration parameters in a wide range of applications and check whether these are correctly configured on your system.MaxPatrol comes with more than 300 compliance policies pre-configured by default. These are based on the guidelines provided by vendors and also based on industry standards like PCI DSS/ISO – this means we can deploy the system quickly and get you up and running fast.More than 1,000 corporations already trust us to secure their systems – you can be sure this is a mature and successful product.