Эксперт прощупал сеть РЖД на уязвимости — просто решето

Эксперт прощупал сеть РЖД на уязвимости — просто решето

Пользователь «Хабра» под ником LMonoceros (настоящее имя — Алексей) в очередной раз обратил внимание ИБ-общественности на слабую защищённость сети РЖД. По словам исследователя, ему удалось удалённо проникнуть в системы государственной компании.

В своём отчёте LMonoceros напомнил людям о посте другого участника «Хабра» — keklick1337. В заметке под названием «Самый беззащитный — это Сапсан» keklick1337 рассказал о том, как ему удалось легко подключиться к внутренней сети РЖД.

Особенно порадовал тогда ответ представителей госкомпании, которые не стали разбираться в корне проблемы, а просто назвали keklick1337 злоумышленником и юным натуралистом. Теперь возможные последствия такого отношения к уязвимостям описал LMonoceros.

Проверяя свои догадки, специалист запустил утилиту nmap по диапазону адресов и порту 8080, после чего стал искать публичный прокси «без авторизации» и выбрал самый близкий по пингу.

«Я запустил сканер по адресам 172.16.0.0/12 (порт 8291, mikrotik winbox) и мне удалось его найти — без пароля», — пишет LMonoceros.

 

Таким образом, исследователь выяснил, что за маршрутизатором с прокси есть ещё один роутер Mikrotik, работающий без пароля. Поскольку Алексей придерживался подхода «серых шляп» (grey hat), он принялся искать владельца уязвимой системы — хотел сообщить о проблеме.

Сканирование VPN открыло эксперту около 20 тысяч устройств, из которых более 1000 — Mikrotik. Огромное количество устройств с паролями по умолчанию, сетует специалист. Среди них:

  • Камеры наружного наблюдения.
  • IP-телефоны и FreePBX сервера.
  • Серверы IPMI.
  • Внутренние сервисы.
  • Сетевое оборудование.

LMonoceros отметил, что пробежался лишь поверхностно, но и так стало понятно — «сеть просто в решето». Алексей также посоветовал РЖД воспользоваться услугами сетевых аудиторов и нанять квалифицированных системных архитекторов. К слову, ранее специалист уже отличался взломом 100 000 роутеров MikroTik с целью пропатчить их.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Наталья Касперская допустила участие ЦРУ в атаке на Colonial Pipeline

Зарубежные и наши СМИ вовсю обсуждают недавнюю кибератаку на Colonial Pipeline, крупнейшего американского оператора трубопроводов. Пока одни обвиняют Россию, а другие строят ещё более невероятные теории, глава компании InfoWatch Наталья Касперская решила высказать своё мнение по данному киберинциденту.

В частности, Касперская порассуждала на тему организаторов и исполнителей атаки. Вполне возможно, считает президент InfoWatch, что за всей кампанией стоит Центральное разведывательное управление (ЦРУ) США.

При этом Касперская подчеркнула, что доподлинно установить конкретного исполнителя целевой кибератаки практически невозможно.

«Если злоумышленник пожелал остаться в тени и не оставил о себе никакой информации, установить его происхождение практически невозможно», — цитирует эксперта издание «РИА Новости».

Тем не менее Наталья Касперская сослалась на расследование WikiLeaks, которое навело шуму в 2017 году. Исследователи тогда писали о некоем подразделении UMBRAGE, примыкающем к ЦРУ и занимающемся маскировкой под различные киберпреступные группировки правительственного уровня.

«Фактически UMBRAGE играли роль кибергрупп из России, Северной Кореи, Китая и Ирана. Другими словами, нельзя с уверенностью сказать, что атаку провели именно российские хакеры, так как сами Штаты могли спровоцировать это», - объясняет Касперская.

Все вышеперечисленные страны, как известно, не раз становились объектом обвинений со стороны США. Как правило, Вашингтон именно им приписывает целевые кибератаки на критически важные системы.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru