Penetrační testy interní infrastruktury

​​​​​​​​​​​​​Penetrační testy interní infrastruktury​​

V rámci penetračních testů interní infrastruktury je kladen důraz na odhalení všech dostupných síťových služeb a komponent a jejich detailní enumeraci. Sběr co nejvíce dostupných informací o síťové infrastruktuře společnosti je pro útočníka klíčový – tyto informace jsou využívány k odhalování zranitelností, provádění útoků a získání přístupů k citlivým systémům ve vnitřní síti společnosti.

 
 

​​​

Náš příběh 

Jeden z našich významných klientů nás požádal o penetrační testy webové aplikace, která byla nasazena již v produkčním prostředí, a tedy dostupná z internetu. Aplikaci navíc nevyvíjel klient, ale externí dodavatel. Byl zde kladen velký důraz na provedení testů v co nejkratším možném čase a zároveň aby ​​nebyla ohrožena dostupnost či integrita dat – vzhledem k externímu dodavateli bylo zvýšené riziko v případném zdržení při obnově aplikace/dat. 
Při penetračních testech jsme objevili celou řadu velmi závažných zranitelností. Autentizovaný běžný uživatel mohl obejít autorizační schémata a v rámci aplikace eskalovat svá privilegia na úroveň administrátora, jinými slovy, obyčejný uživatel byl schopen kompletně převzít kontrolu nad celou aplikací a libovolně ji spravovat, provádět modifikace či útočit na další uživatele aplikace. Popsaná zranitelnost nebyla ta nejzávažnější, která se v aplikaci vyskytovala. Funkcionalita pro nahrávání obrázků umožňovala, zcela jednoduchým způsobem, obejít nastavené restrikce, a nahrát prakticky libovolný soubor. php soubor (skriptovací jazyk, ve kterém je aplikace implementována) a pomocí něj spouštět systémové příkazy na daném aplikačním serveru. Tento nahraný soubor byl navíc volně dostupný i pro neautentizovaného uživatele (tedy zcela veřejně). 
Popsaným způsobem jsme byli schopni plně kompromitovat aplikační server. Další velmi kritická zranitelnost byla nalezena v neautentizované části aplikace, opět volně dostupná z internetu. Pole pro vyhledávání adekvátně neošetřovalo uživatelské vstupy, díky čemuž bylo možné převolávat přímo dotazy v databázi, tedy jednak získat neautorizovaný přístup ke všem datům, ale také zcela kompromitovat databázový server. 
Popsané zranitelnosti ve vysoké míře ohrožovaly dobrou pověst společnosti včetně možných finančních dopadů při dalším zneužití klientských dat. Navíc, vzhledem k faktu, že je aplikace veřejně dostupná, mohl zmíněné útoky provést (většinu z nich) prakticky jakýkoli návštěvník webové aplikace.

​Popis řešení​

Při realizaci interních penetračních testů vycházíme především z aktuální metodiky OSSTMM a zkušeností testerů s útoky na doménové stroje, přičemž je kladen důraz na níže uvedené postupy: ​


Identifikace cílů, prostředí a hledání zranitelností 

Prvotní fáze zahrnuje rozpoznání a mapování jednotlivých systémů (typy serverů, operačních systémů atd.) a služeb dostupných v uživatelské síti organizace. 
Testujeme zde bezpečnostní slabiny související se softwarovými chybami, chybami v konfiguraci a chybami vycházejícími z nevhodného designu a nastavení služeb. 

Identifikace aktivních síťových prvků a prověření jejich bezpečnosti 

Fáze zahrnuje rozpoznání aktivních síťových prvků (firewall, switche, routery, monitorovací sondy) a prověření jejich úrovně bezpečnosti z pohledu celkové koncepce sítě organizace, i z pohledu samotných systémů. Testy jsou realizovány automatizovanými metodami skenování, které rozpoznají strukturu sítě a vlastní zranitelnosti jednotlivých systémů dle získaných „otisků“ služeb. Dopady na bezpečnost sítě jsou následně vyhodnoceny dle doporučení výrobců a uznávaných best practices. 

Pokus o prolomení vybraných identifikovaných systémů a služeb – eskalace privilegií 

Na základě výsledků předchozích fází jsou identifikovány a ověřeny možnosti povýšení daných práv a případného plného ovládnutí testovaných systémů. Jednotlivé testy jsou realizovány různými metodami. Zejména však útoky hádání hesel, zneužití nalezených informací (nalezená hesla, skripty) a dále pak i využití exploitů pro konkrétní nalezené zranitelnosti. 

Pokus o kompromitaci domény společnosti 

V této fázi je uskutečněn pokus o eskalaci privilegií na úroveň doménového administrátora. Cílem je kompromitace interní domény společnosti. Během prováděných technik jsou použity klasické i nejmodernější techniky útočníků, jakými jsou například Pass the Hash, LSASS Dumping, Kerberoasting, Incognito Token Impersonation a další.​

Proč zvolit AEC?​​

  • ​Patříme mezi zavedené české security firmy, na trhu úspěšně působíme již déle než 30 let. 
  • Máme více než 15 let zkušeností na poli bezpečnosti desktopových aplikací. 
  • Náš tým tvoří specialisté se zkušenostmi ze stovek dílčích projektů. 
  • Jsme držiteli certifikací eMAPT, CISSP, OSCP, OSCE, CEH a celé řady dalších. 
  • Provozujeme vlastní hackerskou laboratoř na výzkum v řadě oblastí, zabývajících se bezpečností různých řešení. 
  • ​​Nasloucháme klientům a přizpůsobujeme testy jejich potřebám a časovým možnostem. 
  • Sledujeme moderní trendy v oblasti bezpečnosti desktopových aplikací. 
  • Při testování klademe důraz na manuální přístup, který vede k odhalení většího množství chyb zejména v business logice aplikací oproti automatizovaným nástrojům.

Reference

  • ​SAZKA a.s. 
  • ČSOB Stavební spořitelna, a.s. 
  • CENTROPOL ENERGY, a.s. 
  • Connectronics s.r.o. 
  • JUTA a.s. 
  • Raiffeisenbank, a.s. 
  • Moneta Money Bank

Rádi zkonzultujeme vaši konkrétni situaci


Ověření: 

​​