From ERP to SCADA and back
- 1. От ERP к SCADA. Туда и обратно Две истории одного пентеста Сергей Гордейчик Технический директор Positive Technologies
- 2. Однажды в Позитиве… Sale: Нужно провести Pentest! Hack Team: Не вопрос…
- 3. Шаг 1. Внешний веб-сайт Уязвимость SQL Injection корпоративного Web-сервера Получение прав администратора CMS Уязвимость Local File Inclusion административного интерфейса Получение прав root узла Список учетных записей и хэш паролей CMS и ОС http://web/?id=6329+union+select+id,pwd,0+from... Web-сервер СУБД …. SELECT * from news where id = 6329 union select id,pwd,0 from… ….
- 4. Шаг 1. Внешний веб-сайт - BIA Уязвимость: отсутствие процессов обеспечения безопасности Web- приложений -> множественные уязвимости корпоративного сайта Угроза: получение НСД к сайту, ОС и СУБД Заказчик: сайт-визитка не представляет бизнес-ценности Риск: незначительный?
- 5. Шаг 2. VPN-доступ Подбор паролей по хэшам ОС и CMS Web-сервера Сканирование сети, поиск систем удаленного доступа Использование паролей учетной записи CMStest для подключения к VPN Соединение с сетью!
- 6. Шаг 2. VPN-доступ - BIA Уязвимость: слабый контроль за правами удаленного доступа (группа AD) Угроза: получение НСД к сети компании из Интернет Заказчик: учетная запись временная, прав в сети не имеет Риск: незначительный?!!!
- 7. Шаг 3. Рабочая станция Сканирование сети Подбор пароля локальной учетной записи alexeev (User, но с правами на RDP!) Отсутствие обновления MS10-061 (print spooler, StuxNet) Получение прав администратора рабочей станции
- 8. Шаг 3. Рабочая станция - BIA Уязвимости: • отсутствие ограничений сетевого доступа • отсутствие контроля конфигураций и учетных записей рабочих станций • неэффективный процесс управления обновлениями Угроза: получение прав другого пользователя, удаленный доступ к рабочей станции Заказчик: ситуация нетипична Риск: незначительный????!!!!!!
- 9. Шаг 4. SAP Прослушивание сети Обнаружение трафика SAP DIAG Раскодирование паролей Подключение к SAP с правами пользователя
- 10. Шаг 4. SAP - BIA Уязвимости: • отсутствие защиты от MITM-атак • использование незащищенных протоколов (SAP DIAG) без дополнительной защиты Угроза: получение НСД к SAP с правами пользователя Заказчик: большинство сотрудников имеют доступ к SAP, права ограничены Риск: незначительный????!!!!!!
- 11. Шаг 5. Незначительный?!!! Зарплата гендиректора Демо!
- 12. Шаг 6. От SAP к SCADA На ландшафте разработки: SAP* - 06071992 Получение доступа к ОС через транзакцию SM51 Просмотр сетевых соединений, странная сеть 10.50.X.X Сканируем…
- 13. Business Impact Analysis?!!! Уязвимости: • Отсутствие ограничения сетевого доступа к ландшафту разработки • Стандартные учетные записи SAP • Ошибки разграничения доступа к опасным транзакциям • Прямой сетевой доступ от SAP в сеть АСУ ТП Заказчик… Риск…
- 14. В это время в соседней комнате… PM: 7 заводов… Не хватает ресурсов! Hack Team: Не вопрос, подключаемся…
- 15. Шаг 1. Веб-камеры Подбор стандартных паролей к Web-камерам видеонаблюдения завода Активация интерфейса удаленного управления (telnet) Подключение по telnet Конфигурация туннеля в сеть
- 16. Шаг 1. Веб-камеры - BIA Уязвимость: отсутствие контроля безопасности систем на сетевом периметре Угроза: получение НСД к сети компании из Интернет Заказчик: Камеры? У нас тут выборы недавно показывали, и ничего! Риск: незначительный?!!!
- 17. Шаг 2. Доступ к SCADA Анализ сетевых маршрутов Опять странная сеть 10.50.X.X Сканируем… ModBus! Ландшафт разработки SAP тоже доступен!
- 18. Modbus… WinCC… Где-то мы про это уже слышали…
- 19. Ух ты! Заказчик: система тестовая, можете поиграть VS
- 20. Siemens не устоял перед нашим очарованием… WinCC DiagAgent – XSS WinCC DiagAgent - Path Traversal (arbitrary file reading) WinCC DiagAgent – Buffer overflow WinCC WebNavigator – XSS & Content Spoofing WinCC WebNavigator – XPath Injection WinCC WebNavigator – Path Traversal (arbitrary file reading)
- 21. Демо!
- 22. Siemens Cyber Emergency Readiness Team (CERT) Профессиональная команда За 2 недели запланировали выпуск обновления! • SSA-223158: Multiple Vulnerabilities in WinCC 7.0 SP3: CVE-2012-2596, CVE- 2012-2597, CVE-2012-2598, CVE-2012-2595 Спасибо!
- 23. Мы пошли дальше! Стандарт конфигурации SIMATIC WinCC Поддержка SCADA в MaxPatrol
- 24. Выводы АСУ ТП отделена от сети: МИФ! • Без постоянного контроля в этом нельзя быть уверенным • Интеграция ERP и SCADA создают бизнес- мотивацию объединения сетей SCADA и ERP слишком сложны, чтобы их так просто взломать: МИФ! • Чем сложнее система, тем больше в ней нюансов, больше уязвимостей, выше требования к персоналу
- 25. Выводы Нет незначительных уязвимостей! • Все приведенные примеры использовали тривиальные и распространѐнные уязвимости • Для принятия риска надо четко понимать возможные последствия и векторы атаки Все устранить невозможно! • Но при понимании текущего уровня защищенности можно выбирать наиболее эффективные защитные меры
- 27. MaxPatrol – конкуренты отдыхают Проверок на уязвимости Анализируемых систем и приложений Проверок конфигураций Корпоративных клиентов Проверок на уязвимости «нулевого дня»
- 28. Что мы поддерживаем сейчас?! Business critical systems ERP, Banking and Billing Systems, SCADA including SAP R/3 and SAP NetWeaver, Siemens SIMATEC WinCC Security Systems Personal IPS, Firewalls, Antiviruses etc. Virtualization and Terminal Platforms VMware vSphere/ESX, Microsoft Hyper-V, Citrix XenApp etc. Infrastructure applications Active Directory, Microsoft Exchange, IBM Lotus, Microsoft IIS, Apache
- 29. Что мы поддерживаем сейчас?! Desktop applications Web Browsers, Office, IM applications Databases Microsoft SQL, Oracle, IBM DB2, PostgreSQL, MySQL and Sybase Operating Systems Windows, Mac OS X, Linux, IBM AIX, HP-UX and Oracle Solaris VoIP, wireless and telecom equipment Network equipment Cisco, Juniper, Check Point, Arbor, Huawei, Nortel, Alcatel etc.
- 30. Новости MaxPatrol Поддержка VoIP, виртуальных и терминальных систем Offline-scanner Compliance • PCI DSS 2.0 • ISO 27002 • СТО БР ИББС • РД ФСТЭК Интеграция с различными системами • ArcSight (FlexConnector) • Simantec SIM • RSA Nvision • SkyBox
- 31. MaxPatrol Forensic! Обнаружение закладок и вредоносного кода: сеть, ОС, СУБД, ERP Контроль нерегламентированной системной и сетевой активности Расширенный контроль целостности: • База знаний критичных файлов ОС • База знаний образов ОС IOS Поиск критичной информации
- 32. От ERP к SCADA. Туда и обратно Две истории одного пентеста gordey@ptsecurity.ru http://www.ptsecurity.ru http://sgordey.blogspot.com Сергей Гордейчик Технический директор Positive Technologies
Editor's Notes
- #28: When it comes to the benefits of MaxPatrol, the numbers speak for themselves!The product already knows about over 30-thousand vulnerabilities and – as we heard earlier – our product team find more than 100 new vulnerabilities every month so this figure is constantly risingMore than 1,000 different business systems can be scanned by MaxPatrolMaxPatrol is able to detect more than 5-thousand different configuration parameters in a wide range of applications and check whether these are correctly configured on your system.MaxPatrol comes with more than 300 compliance policies pre-configured by default. These are based on the guidelines provided by vendors and also based on industry standards like PCI DSS/ISO – this means we can deploy the system quickly and get you up and running fast.More than 1,000 corporations already trust us to secure their systems – you can be sure this is a mature and successful product.