Захват сети, через доступ к тестовому сайту стороннего разработчика

Срок выполнения: 1 месяц

Заказчик: финансовая организация.

Запрос: провести тестирование на проникновение внешнего периметра информационных систем.

Специалисты РАД КОП:

1. Нашли уязвимость, позволявшую получить доступ к исходному коду приложения, через нее выкачали все исходные коды и начали их анализировать. Далее, были найдены пароли и получен доступ к базе данных и удаленному серверу разработчика через административную панель. На сервере разработчика и тестовом сайте были найдены ключи доступа. Пришли к выводу, что разработчики выкладывали сайт фин. организации без использования CI/CD, просто копируя его в промышленную среду заказчика.
2. По протоколу SSH, используя найденные ключи, подключились к настоящему серверу Заказчика т.к. у банка не был закрыт доступ по SSH с внешней сети. Исследование сервера выявило, что на нем хранились личные данные пользователей, включая паспортные данные, подключения к внешним сервисам FTP, центральному банку для выгрузки отчетов, ключи доступа для управления сервисами Amazon и другими API доступами.
3. Не производили дальнейшее развитие атаки на внутреннюю сеть, по согласованию сторон, в связи с обоснованием технической возможности дальнейшего развития атаки и достижением целей тестирования.

Результат:

В итоге уязвимость была устранена, а Заказчик обратился к разработчику для закрытия доступа к папке git из внешней сети и к тестовому сайту Заказчика и другим сайтам, которые он разрабатывал для других клиентов.

Впоследствии Заказчик и разработчик провели глубокий аудит своих систем безопасности, чтобы избежать подобных инцидентов в будущем, и внедрили CI/CD, DevSecOps, а также политику безопасности при работе с третьими сторонами (контрагентами).