03.04.2022
Проведение Пентеста
Заказчик: Сфера бизнеса. Оказывает услуги клиентам через личный кабинет. Сотрудники организации также работают через личный кабинет.
Проект: Проведение тестирования на проникновение в публичные информационные ресурсы Заказчика
Цель проекта: Получение объективной и независимой оценки текущего уровня защищенности ИС Заказчика средствами моделирования атаки злоумышленника
В процессе исполнения данного проекта осуществлялось выявление уязвимостей методами и средствами моделирования атак потенциальных нарушителей на публичные информационные ресурсы заказчика.
Этап 1. Разведка
На первичном этапе была произведена киберразведка, которая позволяет предварительно оценить уровень защищенности и обнаружить слабые места во внешнем периметре. В результате киберразведки удалось собрать:
- более 100 корпоративных почтовых адресов сотрудников, которые можно использовать для фишинговой рассылки;
- информацию об имеющихся поддоменах и IP-адресах, открытых портах и технологиях, используемых заказчиком.
Также на данном этапе была обнаружена уязвимость раскрытия файловой структуры, которая позволяет расширит вектор потенциальной атаки.
Этап 2. Внешний нарушитель
На следующем этапе проводилось тестирование методом черного и белого ящиков.
В результате была обнаружена уязвимость, позволяющая определить перечень пользователей, существующих на ресурсах организации. Далее развивая эту уязвимость, удалось получить доступы к ряду личных кабинетов пользователей. Некоторые пользователи, доступ к ЛК которых был получен, имели доступ к странице администрирования. В результате появилась возможность просматривать информацию о реальных данных клиентов, содержащих ПДн. Общее количество записей превышает сотни тысяч.
Также развивая уязвимость раскрытия файловой структуры, удалось определить версию используемой ОС, расположение корневой директории Web-сервера и применяемые программные компоненты.
Проведенное исследование парольной политики привело к выявлению возможности получения доступа к ЛК клиента компании и изменение текущего пароля пользователя.
В результате идентификации почтового ресурса и развития данной уязвимости был получен доступ к почтовому ящику. Из доступных сообщений была извлечена информация, необходимая для аутентификации на различных публичных и внутренних ресурсах, используемых заказчиком. Также с использованием данного почтового адреса удалось зайти в систему под администратором с наивысшими привилегиями.
Также удалось загрузить на сайт плагин, содержащий PHP-скрипт с функционалом удаленного администрирования. В результате был получен полный доступ к серверу с возможностью удаленного выполнения команд. Далее, изучая содержимое файлового сервера, удалось найти учетные данные для подключения к СУБД, подключиться к ней и извлечь логины, хеш-значения паролей и почтовые адреса пользователей системы.
Этап 3. Социальная инженерия
Завершающий этап – социальная инженерия. Была существенна имитация фишинговой атаки на обнаруженные ранее почтовые адреса, а результате которой более 50% пользователей перешли на фишинговый ресурс и открыли вредоносное вложение, а также более 15% пользователей авторизовались на фишинговом ресурсе.
Заключение
По итогам оказания данной услуги заказчик получил полный отчет о проделанной работе и внушительный список рекомендаций по устранения выявленных уязвимостей и повышения уровня защищенности своих ресурсов.
Компания «СофтМолл» проводит комплексные и профессиональные Пентесты. Наши эксперты утверждают, что при проведении каждого Пентеста находятся уязвимости в системе заказчика. При этом заказчик со своей со стороны считает, что система защиты организованна надежно. Мы рекомендуем проводить анализ уязвимостей минимум раз в год.
