Пользователь сайта habr.com Алексей (ник @LMonoceros) написал в своем блоге, как получил доступ к тысячам камер видеонаблюдения на вокзалах и в офисах РЖД.
По его словам, на части роутеров отсутствовал пароль, часть были с устаревшими прошивками. В инфраструктуре сети не было брандмауэров и систем обнаружения вторжения.
Фото с сайта https://gudok.ru/
— Шеф, у нас дыра в безопасности
— Ну, хоть что-то у нас в безопасности
@LMonoceros пишет в своем блоге на Habr.com:
Вероятно, что это один из офисов РЖД, который прилинкован к основой сети через l2tp.
Я попадаю в сеть где межсетевые экраны отсутствуют как класс.
Запускаю интенсивное сканирование хостов — у меня соединение не рвётся. Значит о системах обнаружения вторжения (IDS/IPS) РЖД тоже ничего не слышал. Микротик может замечательно интегрироваться, например Suricata.
Обнаружил кучу устройств без защиты. Это говорит, что службы сетевой безопасности в РЖД так же нет.
Много устройств с дефолтными паролями. То есть политики паролей тоже нет.
С микротиков внутри сети я легко поднял туннели. То есть исходящий трафик не контролируется.
Я вижу все интерфейсы управления в одной сети с клиентскими сервисами. Админы РЖД ничего не знают о Management VLAN
Ранее на том же сайте уже был пост о проблемах в безопасности внутренней сети поезда Сапсан. Осенью 2019 года @keklick1337 отметил, что через портал развлечений есть доступ к внутренней сети VPN компании. Но в РЖД захотели исправить проблему и даже грубо высказались об авторе.
Почему удалось взломать? Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет.
Евгений Чаркин
ИТ-директор РЖД
В компании тогда заявили, что сеть не нуждается в модернизации, а доступа к чувствительным данным нет.
Автор новой публикации — LMonoceros — это опровергает. Кроме видеокамер незащищенными оказались IP-телефоны, FreePBX сервера, системы управления табло на перронах. Алексей подсчитал, что ущерб в случае, если бы взлом совершил злоумышленник, мог бы составить минимум 130 миллионов рублей, не говоря о том, что вся инфраструктура осталась бы без видеонаблюдения на долгое время.
LMonoceros оставил свои контакты для связи. Позже он добавил, что РЖД с ним связались и они «совместно закрыли уязвимости».
В пресс-службе РЖД ответили на запрос ТАСС об инциденте:
«РЖД проводит расследование по публикации в открытом источнике данных, связанных с информационной безопасностью одного из подразделений холдинга. Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет».
В госкорпорации также отметили, что незаконный доступ к сети является уголовным правонарушением.
Комментарии о том, что автору грозит уголовное преследование также сразу появились в соцсетях. Так про свою публикацию рассказывает сам Алексей:
«Я хотел сообщить об уязвимости в РЖД, но так и не нашёл контакты, кому можно эту информацию предоставить.
Далее я прочитал статью о Сапсане и понял, что топам РЖД пофиг на багрепорты, они пренебрежительно относятся к сетевой безопасности в целом. В частности, господин Чаркин. Поэтому решил опубликовать статью с некритичной информацией. Вот я и надеюсь, что РЖД меня услышали, и теперь закроют такие дыры.
…А последствия? Да я в ужасе!»
Детали исследования доступны в статье на habr.
Источник иллюстрации: stock.adobe.com, автор artistique7