Видеокамеры без защиты: открыт доступ в сеть РЖД

Пользователь сайта habr.com Алексей (ник @LMonoceros) написал в своем блоге, как получил доступ к тысячам камер видеонаблюдения на вокзалах и в офисах РЖД.

По его словам, на части роутеров отсутствовал пароль, часть были с устаревшими прошивками. В инфраструктуре сети не было брандмауэров и систем обнаружения вторжения.

Фото с сайта https://gudok.ru/

— Шеф, у нас дыра в безопасности

— Ну, хоть что-то у нас в безопасности

@LMonoceros пишет в своем блоге на Habr.com:

Вероятно, что это один из офисов РЖД, который прилинкован к основой сети через l2tp.

Я попадаю в сеть где межсетевые экраны отсутствуют как класс.

Запускаю интенсивное сканирование хостов — у меня соединение не рвётся. Значит о системах обнаружения вторжения (IDS/IPS) РЖД тоже ничего не слышал. Микротик может замечательно интегрироваться, например Suricata.

Обнаружил кучу устройств без защиты. Это говорит, что службы сетевой безопасности в РЖД так же нет.

Много устройств с дефолтными паролями. То есть политики паролей тоже нет.

С микротиков внутри сети я легко поднял туннели. То есть исходящий трафик не контролируется.

Я вижу все интерфейсы управления в одной сети с клиентскими сервисами. Админы РЖД ничего не знают о Management VLAN

Ранее на том же сайте уже был пост о проблемах в безопасности внутренней сети поезда Сапсан. Осенью 2019 года @keklick1337 отметил, что через портал развлечений есть доступ к внутренней сети VPN компании. Но в РЖД захотели исправить проблему и даже грубо высказались об авторе.

Почему удалось взломать? Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет.

Евгений Чаркин
ИТ-директор РЖД

В компании тогда заявили, что сеть не нуждается в модернизации, а доступа к чувствительным данным нет.

Автор новой публикации — LMonoceros — это опровергает. Кроме видеокамер незащищенными оказались IP-телефоны, FreePBX сервера, системы управления табло на перронах. Алексей подсчитал, что ущерб в случае, если бы взлом совершил злоумышленник, мог бы составить минимум 130 миллионов рублей, не говоря о том, что вся инфраструктура осталась бы без видеонаблюдения на долгое время.

LMonoceros оставил свои контакты для связи. Позже он добавил, что РЖД с ним связались и они «совместно закрыли уязвимости».

В пресс-службе РЖД ответили на запрос ТАСС об инциденте:

«РЖД проводит расследование по публикации в открытом источнике данных, связанных с информационной безопасностью одного из подразделений холдинга. Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет».

В госкорпорации также отметили, что незаконный доступ к сети является уголовным правонарушением.

Комментарии о том, что автору грозит уголовное преследование также сразу появились в соцсетях. Так про свою публикацию рассказывает сам Алексей:

«Я хотел сообщить об уязвимости в РЖД, но так и не нашёл контакты, кому можно эту информацию предоставить.
Далее я прочитал статью о Сапсане и понял, что топам РЖД пофиг на багрепорты, они пренебрежительно относятся к сетевой безопасности в целом. В частности, господин Чаркин. Поэтому решил опубликовать статью с некритичной информацией. Вот я и надеюсь, что РЖД меня услышали, и теперь закроют такие дыры.
…А последствия? Да я в ужасе!»

Детали исследования доступны в статье на habr.

Источник иллюстрации: stock.adobe.com, автор artistique7

Рекомендуем почитать

Ведомство получило множество жалоб и предписало операторам отказаться от практики введения оплаты за шеринг интернет-трафика. Федеральная Антимонопольная Служба…
18.09.2023
Мы продолжаем следить за развитием индустрии «скрытых» мобильных подписок и выпустили новое расследование ­– о том, как изменилась…
21.08.2023
Собрали несколько полезных приложений, которые часто используются для преодоления ограничений. FreeBrowser https://freebrowser.org/ В GooglePlay Работает только на Android-устройствах.…
10.08.2023