Захват сети, через доступ к тестовому сайту стороннего разработчика
Срок выполнения: 1 месяц
Заказчик: финансовая организация.
Запрос: в рамках пентеста обнаружен тестовый сайт разработчика приложения, он был доступен по случайно обнаруженному URL-адресу и не требовал пароля для доступа.
Специалисты РАД КОП:
- Нашли уязвимость, позволявшую получить доступ к исходному коду приложения, через нее выкачали все исходные коды и начали их анализировать. Далее, были найдены пароли и получен доступ к базе данных и удаленному серверу разработчика через административную панель. На сервере разработчика и тестовом сайте были найдены ключи доступа. Пришли к выводу, что разработчики выкладывали сайт фин. организации без использования CI/CD, просто копируя его в промышленную среду заказчика.
- По протоколу SSH, используя найденные ключи, подключились к настоящему серверу Заказчика т.к. у банка не был закрыт доступ по SSH с внешней сети. Исследование сервера выявило, что на нем хранились личные данные пользователей, включая паспортные данные, подключения к внешним сервисам FTP, центральному банку для выгрузки отчетов, ключи доступа для управления сервисами Amazon и другими API доступами.
- Не производили дальнейшее развитие атаки на внутреннюю сеть, по согласованию сторон, в связи с обоснованием технической возможности дальнейшего развития атаки и достижением целей тестирования.
Результат:
В итоге уязвимость была устранена, а Заказчик обратился к разработчику для закрытия доступа к папке git из внешней сети и к тестовому сайту Заказчика и другим сайтам, которые он разрабатывал для других клиентов.
Впоследствии Заказчик и разработчик провели глубокий аудит своих систем безопасности, чтобы избежать подобных инцидентов в будущем, и внедрили CI/CD, DevSecOps, а также политику безопасности при работе с третьими сторонами (контрагентами).
Наши специалисты ответят на любой интересующий вопрос