8 (861) 204-77-01
г. Краснодар, ул.Северная 32
Пн-Пт: 9.00 - 18.00 / CБ: 9.00 - 16.00
Закрыть
Контакты
Меню

Уязвимости в больших слаботочных системах

logoНВП Болид и Рубеж, два крупных игрока систем безопасности и автоматизации, производители софта и железа из коробкки по дефолту приносят нам непростительно детские критические уязвимости систем, которые просто не имеют права на отказ

В этой статье поговорим о них. Так же видеообзор вы можете посмотреть на любом из наших каналов

  

 

 

 От чего защищают нас производители крупных систем безопасности ?

 

 

В этом обзоре  я буду говорить о НВП Болид и Рубеж исключительно по тому, что уязвимости были подтверждены опытным путем при использовании последних сборок их софта. И да, каждый специалист слаботочник знает, что это ключевые производители для ряда систем безопасности на отечественном рынке.

Но как такое возможно? Попробуем ответить на этот вопрос. Раньше различные слаботочные подсистемы были каждые сами по себе. Пожарка, охранка, видеонаблюдение, сетевая инфраструктура, СКУД, телефония, МГН, климатконтроль, различные средства автоматизации - все это были разные системы. Но в какой то временный интервал никому отдельные подсистемы стали не интересны, ведь единая экосистема это гораздо удобнее и интереснее по функционалу, интеграции и скорости обмена данными. 

И вот наши разнородные слаботочные системы объединяются, на базе локальных сетей в нечто большее. И в этом развитии нет ничего плохого. Беда в том, что производители этих систем продолжают мыслить в парадигме старых автономных систем, предполагая, что никто из сети к ним не сможет получить доступ, а значит и делать для защиты данных передаваемых по цифровым артериям 21го века ничего не надо.

Таким образом охранная сигнализация и видеонаблюдение, СКУД продолжают нас охранять от злоумышленников, которые потенциально могут проникнуть на объект. Пожарная сигнализация от пожара. И этот список можно перечислять долго, вот только основной вектор атаки на систему сегодня находится в сети. Об этом мы сегодня и поговорим

 

 С каким софтом мы сегодня будем работать ?

 

 

 Как отметили выше - это Рубеж и Болид. На сладенькое еще захватили производителей систем контроля доступа Эра 

 

Болид

  • Орион Про 1.20.3.9
  • Орион Про 2.0

Рубеж

  •  ПО FireSec 3.2.11.0

 

 Установка любой нижеописанной слаботочной системы одинаковая и представляет из себя нажатие кнопки "Далее"

 

 

 

Уязвимости Болида

 

 

Поговорим о первой сборочке, которая стоит на огромном количестве объектов нашей страны, будь то охранная, пожарная или другие средства автоматизации: Орион Про 1.*  Первые версии все шли с прикрученными базами данных MS SQL SERVER разных редакций. Но это не важно, важно то что стандартный логин SA и пароль 123456 никто никогда не менял, да и Болид не обращал особого внимания в тех. документации на это. Название базы данных тоже не блещет уникальностью, так как у Болида они все начинаются так:

 

 demobase_[номер версии болида]

 

 Версия порта легко определяется сканером nmap с использованием дефолтных скриптов -sC, который при этом точно покажет версию MS SQL SERVER и порт на котором он сейчас живет.

 

 

Самое страшное что MS SQL SERVER по дефолту доступен для всей локальной сети и с этими дефолтными параметрами мы с легкостью можем подключиться к базе данных из любой точки локальной сети. К слову базовое тестировани Болида первой версии на проникновение начинается с:

 

  • Сканирование nmap портов: nmap -sV -sC -p- [адрес сети или хоста]
  • Выявленный SQL SERVER с помощью атаки брутфорса прогоняется по стандартным паролям nmap -p [номер порта базы] --script ms-sql-server-brute + аргументы со стандартным списко паролей и логинов (как мы знаем SA и 123456)

 

 

В 90 % случаев мы получаем полный доступ к базе данных с привилегией суперпользователь, а значит можем изменять ее, добавлять нужные нам элементы, уничтожить базу

 

 

 

Таким образом мы можем полностью уничтожить систему мониторинга слаботочных систем огромного объекта !!!

 

Орион Про 2.0 отличается от своих предшественников тем, что на борту Ориона у нас прекрученна база данных Postgre SQL. Опенсорс решение, которое входит в список одобренного отечественного софта, не тяготит вопросами лицензирования и ограничениями по поточности. Именно поэтому Болид перешел на новую базу, да она ище обладает хорошей кросплатформенностью благодаря чему Орион Про 2.0 сегодня используятся на отечественном Астра Linux. 

И новая база является отличным плюсом, не потому что болид изменил логин и пароль, они все теже SA и 123456. Да и имя базы  данных формируется по тому же принципу demobase_2.0. Дело в том, что из коробки подключиться к Postgre SQL может только localhost (127.0.0.1) и это ограничение может быть снято только админым, при необходимости интеграции в другую подсистему. И в этом случае мы возвращаемся к тому же печальному концу, что и сборки Орион Про 1.*

 

 

 

Уязвимости Рубежа

 

 

Оборудование рубежа многим монтажникам и инженерам слаботочникам нравится простотой и комфортом реализации. Рубеж быстрее монтируется и настраивается по сравнению с Болидом. Исключительно наше мнение и мнение людей с которыми мы сотрудничаем. 

Легко устанавливать, писать конфигурацию и в моменте записывать эту конфигурацию во все приборы интерфеса неоспоримая фишка Рубежа. Но в сегодняшнем обзоре это огромный минус. Оказываетя сетевой протокол обмена данными рубежа - это открытый фомат данных поверх TCP !!!

 

 bug6

bug7

 

Таким образом криптостойкость системы == 0. Рубеж не пытается спрятать поток данных, показывая их всем как на ярморке. И это очень опасно, так как эта система отвечает за ряд важнейших слаботочных подстистем на объектах. 

 

С учетом простоты реализации, новые изменения в конфигурации мы можем через Firesec пролить по всем контроллерам, что полностью в моменте уничтожит систему объекта!!!

 

 

Уязвимости ЭРЫ

 

 

Производитель софта и контроллеров систем контроля управления доступом ЭРА. Неплохой, интуитивно понятный, бесплатный софт, который поставляется с контроллерами. И да эти ребята в отличии от рубежа не передают все данные в открытую. Хотя бы есть свой алгоритм и они прячут пароль ))) Но детские ошибки те же, что у Болида Орион Про 1.* . База данных firebird торчит наружу с дефолтным 3050 портом, доступ из сети неограничен, ну а логин и пароль SYSDBA и masterkey стандартны, мы знаем где лежит база и можем с легкостью к ней подключиться,  удалить и тем самым положить скуд объекта или внести изминения и добавить новых пользователей системы которые смогут ходить по объекту

Эра обменивается сигнальными сообщениями на своем порту UDP 7715. Там в открытую бегают даные о открытии и закрытии двери, а значит мы с легкостью эти данные можем воспроизводить и открывать или закрывать двери.

 

bug8

 

Что делать и как защититься

 

 

Дело в том, что нет одного виноватого. И ответственность за то, что может случиться делит ряд лиц. Давайте поговорим о том, что может сделать каждый из нас на своем уровне.

 

Производитель оборудования. Уделите внимание документации. Большинство специалистов настраивают оборудование по ним. Выделите страниц 5 - 10 под опасность, которая исходит именно со стороны сети. Обязательно укажите в мануалах, что нужно менять стандартные пары логин / пароль баз данных. Если нет необходимости доступ к базам может быть только из под localhost или с серьезными ограничениями. Рубеж - передача данных в открую, я даже не знаю что вам посоветовать, это провал. Пока не заткнете эту дырку в инструкции и на ваших видеоплощадках исправляйтесь. Укажите возможный удаленный доступ не повер TCP/IP, а HTTPS, опишите инсталяторам как это сделать

 

Слаботочники. При настройке сервера  никогда не отключайте файервол, при подключении АРМов в систему, настройка должна быть предметно-тонкой: запрещено все, кроме того, что разрешено. Ряд важных критических процессов автоматизации не храните на серверах, оставляйте настройки только на контроллерах системы. Бекапы обязательны

 

Админы и IT шники. Никогда не идите на поводу у охранников и операторов, открыть доступ системы безопасности в глобальную паутину с учетом вышеперечисленного  == "СМЕРТЬ СИСТЕМЫ". Изолированная среда должна остаться такой, минимальные VLAN под них, с доп. комплексом мер по защите изолированной среды. Если нужна интеграция с удаленными системами, используйте криптостойкие VPN тунели и только после консультации с ИБ специалистами

 

 

Общемировая проблема

 

 

Любителям поливать все отечественное гавном добавлю, что проблема общемировая. Около 200 000 скомпроментированных промышленных объектов SCADA систем торчат наружу в глобальной паутине. Огромное количество брендов по системам автоматизации и безопаснсоти имеют такие же детские болячки. В методологии для тестирования сетей с помощью nmap ряд авторов  уделили слаботочным системам огромные разделы в которых описанны принципы тестирования и болячки 

 

Как всегда видео на эту тему есть на всех наших каналах, выбирайте любой