Компания Х использует корпоративное сетевое приложение "Защищённый контур", позволяющее "безопасно" обмениваться корпоративной информацией (в том числе хранить персональные данные клиентов и информацию, отнесённую к коммерческой тайне). Вам предстоит проанализировать само приложение на уязвимости, а также настройки ОС на серверах, где это приложение функционирует.
Компания разработчик поставляет уже настроенный сервер в виде OVA (md5 = 5935192d257a003b85584a84dec83367), который (по их заверениям) вполне безопасен и может использоваться "из коробки" (т.е. достаточно импортировать в среду виртуализации и можно запускать в боевой среде).
По информации, полученной от разработчика, цитата: "приложение содержит механизмы безопасности и может использоваться при построении ИСПД до 4 УЗ включительно и систем, обрабатывающих коммерческую тайну".
Документация на приложение разработчиком не предоставлена, поскольку, цитата: "интерфейс интуитивно понятный, обучающих материалов для пользователей не требуется".
Исходные коды так же не предоставлены.
Вас, как специалиста, попросили выполнить анализ данного приложения с точки зрения его реальной защищённости.
Цитата:
Логин/пароль пользователя в ОС OVA - system/system (после первого запуска необходимо сменить пароль).
Все файлы приложения располагаются в каталоге /opt/sk
Приложение предназначено для работы в ОС Linux x86_64
Приложение настроено в качестве сервиса systemd - sk.service
Приложение запускается на порту 8888 и использует протокол HTTP для своей работы, взаимодействие с приложением осуществляется через веб-интерфейс (посредством веб-браузера с хоста)
При импорте настроек виртуального образа в гипервизор, отличный от Virtual Box, может потребоваться дополнительная настройка сетевого интерфейса виртуального образа с помощью утилиты ip
При первом старте в приложении регистрируется пользователь с логином admin, пароль генерируется автоматически и записывается в файл /opt/sk/password.txt
Задачи:
- провести комплексное исследование функционирующего приложения и исходных кодов.
- Обратите внимание на код приложения, всё ли в порядке с зависимостями, верно ли собираются контейнеры
Несоответствие документу: “ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ПРИКАЗ от 18 февраля 2013 г. N 21”:
- Несоответствие УПД.6 “Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)”
- Несоответствие ИАФ.5 “Защита обратной связи при вводе аутентификационной информации”
- Несоответствие УПД.1 “Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей” Пояснение: Нету активации и блокировки учетных записей.
- Несоответствие "разрешение или запрет доступа к информации, составляющей коммерческую тайну" посредством механизмов разграничения доступа, встроенных в приложение. Пояснение: При входе в учетную запись пользователя, который не имеет доступа к коммерческой тайн, он может получить доступ к странице КТ и тем самым доступ к файлам содержащую КТ обратившись по прямой ссылке http://{ip}:8888/commercial/index.html где {ip} это локальный ip адрес машины на которой находиться приложение
- Открыт 21 порт на котором находится
сервис: vsftpd
версия: 3.0.3
У данной версии есть уязвимость - “Remote Denial of Service” EDB-ID:49719 скачиваем скрипт - *клик* и запускае его указав нужные параметры(можно запустить через несколько машин, либо используя прокси для достижении нужного результата), после чего сервис vsftpd на машине упадет.
- Обновить сервис vsftpd до последней версии
- Открыт 22 порт на котором находится
сервис: ssh
версия:OpenSSH 7.6p1
У данной версии есть уязвимость - “OpenSSH 2.3 < 7.7 - Username Enumeration” EDB-ID:45233 скачиваем скрипт - *клик* и запускае его указав нужные параметры после чего нам выдаст возможные логины сервиса- установить сервисы предотвращающие переборы(fail2ban)
- обновить сервис до последней версии
-
уязвимость IDOR, получение доступа к закрытым страницам сайта посредством обращение к ним прямыми ссылками
вводим в адресную строку
http://{IP}:8888/commercial/index.html
Где {IP} это локальный ip адрес машины на которой находиться приложение
- Установить проверку пользователя, есть ли права на указанную страницу или действие;
-
уязвимость CWE-200 передача конфиденциальной информации неавторизованному субъекту, при вводе некорректного пользователя сервис выдает - “Неверно указан логин”, а при верном указанном логине - “Неверно указан пароль”, что дает возможность злоумышленнику узнать корректные имена пользователей
Выполнить перебор пользователей посредством использование сторонней утилиты
сделать один ответ при отправки формы пользователем - “Неверен логин или пароль”
