Дата:  13.4.16 | Раздел: 

Безопасность средств безопасности: СКУД (часть 2)

УЯЗВИМОСТЬ НЕ ВСЕГДА ОПАСНА

Стоит также отметить, что не во всех случаях такая уязвимость представляет большой риск. Если подобные уязвимые системы используются, например, на подземной парковке жилого дома\комплекса, где сидит 1-2 охранника на КПП, то риска здесь почти никакого нет, т.к. для того, чтобы воспользоваться данной уязвимостью, нужно иметь доступ в локальную сеть, где находится компьютер с сервером СКУД. В случае с парковкой, просто некому воспользоваться таким недостатком, кроме как самим охранникам, которые и без этого имеют санкционированный доступ к системе. Другое дело, когда речь идет о большом офисе или организации, где есть непривилегированные пользователи и помещения куда ходить им нельзя: заводы, госорганы, средние и крупные компании и т.д.

РАСПРОСТРАНЕННОСТЬ УЯЗВИМОСТИ

Для того, чтобы оценить распространённость данной уязвимости, просканировать интернет на FB будет мало, т.к. здравомыслящий человек не будет вывешивать СКУД в интернет, а нормальная компания-производитель СКУДа напомнит клиенту об опасности такого размещения. Поэтому судить о распространённости можно только по добровольным раскрытиям информации, например, по отзывам на продукты. Конечно, стоит отметить, что этой информации нельзя доверять на 100%, т.к. не понятно, используется ли то решение сейчас и в каком виде.

Также, по отзывам и благодарностям нельзя утверждать, что вообще это решение используется в компании-источнике отзыва, или о масштабе его применения в компании. Оно может быть применено всегона одну дверь или на маленький удаленный офис большой корпорации. В конце концов, сами организации могли изменить настройки ФБ сервера, чтобы он был доступен только для localhost или иначе решить эту проблему, и такие примеры у меня есть.

Кто, возможно, имеет уязвимые системы на примерах:
●    Зимние Олимпийские Игры-2014
●    ГАЗПРОМ, SYNTERRA, InfoTeCS и другие крупные и известные компании…
●    Банки
●    Заводы
●    Космодром
●    Аэропорты
●    Склады
●    ГУВД и другие государственные структуры…
●    Провайдеры
●    Религиозные общины

Например:
1.    1-й Государственный испытательный космодром (г. Мирный)
2.    AZIA Group Technology
3.    BIOMAN
4.    Dr.Oetker
5.    DSSL» (Trassir) – Приволжье
6.    EAST LINE
7.    ENKA («Энка Ишаат Ве Санайи Аноним Ширкети»)
8.    Expert Security Systems
9.    RB Service Home Network
10.    SPAR
11.    SYNTERRA
12.    XCOM
13.    Zoneco
14.    «СпорткарЦентр»
15.    Абсолют СБ
16.    АО «Императорский фарфоровый завод»
17.    АСБ-Комплект
18.    Аэропортовый комплекс Домодедово
19.    Аэропорты в городах Мурманск, Пермь
20.    Банк ВИЗАВИ
21.    Банк Москвы
22.    Банк Развитие-Столица
23.    Банк Снежинский
24.    Банк: Промышленно-Торговый банк
25.    Безопасность Он-Лайн
26.    Бизнес центр Ducat Place ll
27.    В центральном офисе и одном из супермаркетов сети «Атак»
28.    Газпром
29.    ГАЗПРОМБАНК
30.    Группа СЕБ МУЛИНЕКС
31.    ГУВД по СПб и ЛО
32.    Дата-Пермь
33.    ЗАО «Аэрофест» в аэропорту Шереметьево-2
34.    ЗАО «Белорусская сеть телекоммуникаций» (БеСТ Life)
35.    ЗАО «Керама-Марацци»
36.    Зимних Олимпийских Игр-2014
37.    ИСБ
38.    КАМАЗИНСТРУМЕНТСПЕЦМАШ (Г. НАБЕРЕЖНЫЕ ЧЕЛНЫ)
39.    Компания Fujitsu
40.    Комплексные Системы Безопасности
41.    Конт
42.    Куб-Системы проект
43.    Морская ледостойкая стационарная платформа «Приразломная»
44.    МосКабельМет
45.    Московский Областной Научно-Исследовательской Клинический Институт им. М.Ф. Владимирского (МОНИКИ)
46.    Московский театр «Ленком»
47.    НПК «Биос»
48.    ОАО «Вертолетная сервисная компания» (100% дочерняя структура ОАО «ОПК «Оборонпром»)
49.    ОАО «КИРОВСКИЙ ЗАВОД».
50.    ООО «Газпром бурение»
51.    ООО «Газпромнефть-ЮГ»
52.    ООО «Данон Индустрия»
53.    ООО «Рамэнка»
54.    ООО «СВЯЗЬСПЕЦПРОЕКТ»
55.    ООО «Сименс Бизнес Сервисез» в г. Воронеже
56.    ООО «ФОЛЬКСВАГЕН Груп Рус»
57.    ООО НПО «Городские системы»
58.    ОСМП (центральном офисе «Объединенных систем моментальных платежей»)
59.    Открытое акционерное общество «Белорусский металлургический завод»
60.    Паркинги жилых комплексов компании «ЮИТ ДОМ» и СГ «Эталон»
61.    Предприятия ХК ОАО «ФосАгро»
62.    Профавтоматика
63.    Растр
64.    Религиозная община «Приход в честь Всех Святых в г. Минске Минской Епархии Белорусской Православной Церкви»
65.    Росморпорт
66.    Рубеж-92
67.    САНТЕХПРОМ
68.    Сателлит Урал
69.    Сатро-Палладин
70.    САТУРН
71.    Сиддхи Секьюрити
72.    Складские логистические комплексы ОАО «Интертерминал» (Санкт-Петербург)
73.    Совершенные системы
74.    Сонопресс
75.    Специалист Безопасности
76.    Тел
77.    Теплосеть Санкт-Петербурга
78.    ТеплоЭлектроЦентраль №25
79.    ТНК КарелияНефтеПродукт
80.    Триада СТ-В
81.    Трэйд Телеком
82.    Уфанет
83.    финансово-Расчетного Центра АО «АвтоВАЗ»
84.    ЦБ РФ по Томской области
85.    Цербер
86.    Элси
87.    Элтра
88.    Энерго-Альянс
89.    …..

И многие другие объекты.


ПРИМЕР ЭКСПЛУАТАЦИИ
А теперь давайте разберём, насколько сложно воспользоваться данной уязвимостью. Я считаю, что для этого не нужно владеть какими-то особыми знаниями, все делается общедоступными инструментами и за пару минут.
1.    Найти сервер FireBird
Первое, что очевидно будет делать злоумышленник, это искать во внутренней сети компании открытый 3050/tcp порт. Для этого можно скачать программу nmap (https://nmap.org/download.html) и запустить с такими ключами из консоли cmd:
nmap -sS -p3050 --open 192.168.0.0/24
В ответ через некоторое время nmap выведет все открытые порты 3050/tcp, которые нашел в сети 192.168.0.0/24:



Соответственно адресация сети у каждого будет своя, но принцип один тот же. Если nmap не нравится, можно использовать множество других программ, большинство из них графические, что позволяет использовать их рядовому пользователю. Один из открытых портов будет принадлежать серверу СКУД. Вероятней всего найдется всего один порт (как на скриншоте), но на всякий случай представим, что несколько.

2.    Подключиться к FireBird
После того как мы выявили порты ФБ, нужно к ним подключиться. Сделать это можно с помощью программы IBExpert (http://www.ibexpert.net/ibe/). Помните, что к ней вам понадобится библиотека fbclient.dll (получить ее можно, установив FB-сервер себе или скачав из Интернета). Далее необходимо последовательно попробовать подключится к каждому FB серверу. Для подключения к FB потребуется знать логин, пароль и путь к БД на самом сервере FB. Логин и пароль мы знаем, в этом и заключается уязвимость, а путь к БД будет использоваться стандартный с очень высокой долей вероятности. Путь вы можете взять у меня со скриншотов, правда, так как у меня на скриншоте используется демо-версия, путь будет отличаться. Также можно установить себе данный СКУД и посмотреть, какой он использует путь по умолчанию. Узнать название СКУДа достаточно просто, можно спросить прямо, какой используется СКУД, можно попросить совета у безопасника: «Какой СКУД лучше?», и он сам все расскажет. Можно подсмотреть иконку или очертания интерфейса на мониторе на КПП. Иногда на считывателях карт есть значок производителя ПО. А можно просто перебрать все стандартные варианты, их не много.



Таким образом, мы подключились к БД напрямую и можем делать все что хотим, даже то, что не позволяет сделать официальный интерфейс администрирования.

3.    Разобраться в структуре БД используемого СКУД
Для того что бы сделать что-то со СКУДом через FB-сервер, нужно разобраться в формате БД. Сколько СКУДов, столько и разных форматов хранения данных в базе данных.



Начнем с простого.

ДОСТУП В ОФИЦИАЛЬНЫЙ ИНТЕРФЕЙС АДМИНИСТРИРОВАНИЯ СКУД
Чтобы подключиться к серверу СКУД, нам понадобится клиентская программа для конкретной версии. Возможно, некоторые СКУД через официальный клиент поддерживают только локальное подключение, я не знаю, не проверял. Чтобы подключиться нам понадобится: ip, логин, пароль. IP мы уже нашли с помощью сканера портов, а вот логин и пароль от интерфейса СКУД нам не известны, но их можно узнать в БД СКУД. Для примера разберем на примере СКУД ENT Контроль, мой любимый СКУД.
 В таблице «FB_UZP» хранятся данные для авторизации пользователей управления СКУД:



Логин хранится в открытом виде, а пароль в виде хеша (md5). Тут мы можем поступить разными способами:

1)    Сбрутить хеши и узнать пароли, привет http://cmd5.ru/ />

2)    Заменить хеш существующего пользователя на известный нам, например «c4ca4238a0b923820dcc509a6f75849b» обозначает пароль «1».

3)    Создать нового пользователя со своим паролем\хешем.
После всех этих действий не забудьте сделать Commit, что бы все изменения были сохранены:

Cтатья опубликована на сайте "Безопасность для всех":
http://www.sec4all.net

Адрес статьи:
http://www.sec4all.net/modules/myarticles/article.php?storyid=1685