Náš príbeh
Počas penetračných testov externej infraštruktúry verejnej správy boli nájdené veľmi závažné nedostatky, ktoré viedli ku kompletnej kompromitácii niekoľkých serverov. V určitých prípadoch sa nám podarilo zreťaziť niekoľko zraniteľností, konkrétne chýbajúce bezpečnostné záplaty, slabú politiku hesiel a nedodržiavanie best practices.
Spoločnosť umožňovala svojim zamestnancom využívať vzdialené pripojenie pomocou SSL VPN. Nasadená verzia technológie poskytujúca vzdialený prístup však nebola vo svojej poslednej verzii, a teda neobsahovala aktualizácie opravujúce kritické chyby/zraniteľnosti. Jednou z nich bola možnosť neautorizovaného prístupu k citlivým informáciám – vypísanie používateľských mien a hesiel v čitateľnej podobe. Keďže technológia bola napojená na Active Directory/LDAP, išlo o doménových používateľov a ich heslá. Pod identitou ľubovoľného používateľa bolo možné sa do SSL VPN prihlásiť a následne aj pripojiť na dedikovaný stroj zamestnanca – útočník teda, okrem iného, získal neautorizovaný prístup priamo do vnútornej siete, mohol kompromitovať počítač ľubovoľného používateľa, pohybovať sa a útočiť ďalej vo vnútornej sieti atď.
Ďalšia nájdená kritická zraniteľnosť sa týkala opäť chýbajúcich aktualizácií, v tomto prípade e mailového serveru. Webové rozhranie e-mailového serveru obsahovalo deserializačnú zraniteľnosť umožňujúcu vzdialené spúšťanie kódu na úrovni operačného systému. K úspešnému útoku však boli potrebné prihlasovacie údaje legitímneho doménového používateľa – ako už bolo zmienené, tie sme už mali k dispozícii. Potenciálny útočník teda mohol celkom kompromitovať e-mailový server, pretože služba bežala pod najvyššími oprávneniami.
Poslednou kritickou zraniteľnosťou bola chybná validácia používateľských vstupov webovej aplikácie slúžiacej ako „HelpDesk“. Aplikácia mala prístup do internetu, bola však zabezpečená autentizačným formulárom a z internetu mali do aplikácie prístup iba vybraní používatelia (administrátori). Nájsť správneho používateľa bolo len otázkou času (pomocou zraniteľnosti z SSL VPN). Po získaní neautorizovaného prístupu bola, celkom rýchlo, nájdená veľmi závažná zraniteľnosť – SQL Injection –, keď je zadaný SQL príkaz interpretovaný a vykonaný databázovým strojom. Útočník tak mohol získať všetky dáta v databáze, a tiež kompletne kompromitovať databázový server a získať prístup do internej infraštruktúry.
Verejná správa sa nestala, aj vďaka včasnému vykonaniu penetračných testov externej infraštruktúry, predmetom záujmu skutočného útočníka, mohla opraviť nájdené zraniteľnosti a zabezpečiť svoj perimeter.
