РЖД безопасность сети

Видеокамеры без защиты. Пользователь Хабра рассказал, как он получил доступ в сеть РЖД

Госкорпорации, Уязвимости

На роутерах стояли пароли по умолчанию

Пользователь сайта habr.com Алексей (ник @LMonoceros) написал в своем блоге, как получил доступ к тысячам камер видеонаблюдения на вокзалах и в офисах РЖД. По его словам, на части роутеров отсутствовал пароль, часть были с устаревшими прошивками. В инфраструктуре сети не было брандмауэров и систем обнаружения вторжения.

- Шеф, у нас дыра в безопасности
- Ну, хоть что-то у нас в безопасности
Фото с сайта https://gudok.ru/
  1. Вероятно, что это один из офисов РЖД, который прилинкован к основой сети через l2tp. 
  2. Я попадаю в сеть где межсетевые экраны отсутствуют как класс. 
  3. Запускаю интенсивное сканирование хостов — у меня соединение не рвётся. Значит о системах обнаружения вторжения (IDS/IPS) РЖД тоже ничего не слышал. Микротик может замечательно интегрироваться, например Suricata 
  4. Обнаружил кучу устройств без защиты. Это говорит, что службы сетевой безопасности в РЖД так же нет.
  5. Много устройств с дефолтными паролями. То есть политики паролей тоже нет.
  6. С Микротиков внутри сети я легко поднял туннели. То есть исходящий трафик не контролируется. 
  7. Я вижу все интерфейсы управления в одной сети с клиентскими сервисами. Админы РЖД ничего не знают о Management VLAN
Пишет @LMonoceros в своем блоге

Ранее на том же сайте уже был пост о проблемах в безопасности внутренней сети поезда Сапсан. Осенью 2019 года @keklick1337 отметил, что через портал развлечений есть доступ к внутренней сети VPN компании. Но в РЖД захотели исправить проблему и даже грубо высказались об авторе. 

Почему удалось взломать? Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет.
Евгений Чаркин
ИТ-директор РЖД

В компании тогда заявили, что сеть не нуждается в модернизации, а доступа к чувствительным данным нет.

Автор новой публикации это опровергает. Кроме видеокамер незащищенными оказались IP-телефоны, FreePBX сервера, системы управления табло на перронах. Алексей подсчитал, что ущерб в случае, если бы взлом совершил злоумышленник, мог бы составить минимум 130 миллионов рублей, не говоря о том, что вся инфраструктура осталась бы без видеонаблюдения на долгое время.

Автор оставил свои контакты для связи. Позже он добавил, что РЖД с ним связались и они “совместно закрыли уязвимости”.

В пресс-службе РЖД ответили на запрос ТАСС об инциденте: “РЖД проводит расследование по публикации в открытом источнике данных, связанных с информационной безопасностью одного из подразделений холдинга. Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет”. В госкорпорации также отметили, что незаконный доступ к сети является уголовным правонарушением. 

Комментарии о том, что автору грозит уголовное преследование также сразу появились в соцсетях. Так про свою публикацию рассказывает Роскомсвободы сам Алексей:

«Я хотел сообщить об уязвимости в РЖД, но так и не нашёл контакты, кому можно эту информацию предоставить. Далее я прочитал статью о Сапсане и понял, что топам РЖД пофиг на багрепорты, они пренебрежительно относятся к сетевой безопасности в целом. В частности, господин Чаркин. Поэтому решил опубликовать статью с некритичной информацией. Вот я и надеюсь, что РЖД меня услышали, и теперь закроют такие дыры. …А последствия? Да я в ужасе!»

 Детали исследования доступны в статье на habr.

Источник иллюстрации: stock.adobe.com, автор artistique7