![](http://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/getpro/habr/avatars/a7f/02e/6af/a7f02e6af300e142ebc36b1001021ad6.jpg)
Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…
UPD: со мной связались специалисты РЖД и совместно закрыли уязвимости.
Больше года назад хабравчанин keklick1337 опубликовал свой единственный пост «Самый беззащитный — это Сапсан» в котором рассказывает как он без серьёзных ухищрений получил доступ ко внутренней сети РЖД через WiFi Сапсана.
В ОАО «РЖД» прокомментировали результаты этого расследования. «Есть результаты проверки. Почему удалось взломать? Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет. Мультимедийный портал „Сапсанов“ функционирует как положено и не нуждается в доработке», — заявил Евгений Чаркин.
То есть вместо того, чтобы выразить благодарность за обнаруженную уязвимость, автора обозвали «злоумышленником» и «Юным натуралистом».
К сожалению, но специалисты РЖД, начиная с директора по информационным технологиям, отнеслись к статье очень пренебрежительно, проигнорировав важное указание автора:
Также оттуда в сеть РЖД есть впн. Если захотите — найдёте её там сами.
И вот, год спустя я попал в сеть РЖД даже не садясь в Сапсан.
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/re/li/zb/relizb1kyp3qh3qp9jsedvhml1c.png)
Видимо, только этот котэ добросовестно охраняет вокзал.
Как именно я попал в сеть РЖД с пруфами, чего не сделал директор по информационным технологиям ОАО «РЖД» Чаркин Евгений Игоревич и возможные последствия — под катом.
Всё началось с гипотезы
В интернете очень много бесплатных прокси-серверов. Но кто в здравом уме будет открывать всем желающим выход в интернет через свой роутер? Вариантов по большому счету два: это либо взломанные устройства, либо владелец забыл отключить эту функцию.
Таким образом меня посетила идея проверить гипотезу: «Есть ли жизнь за прокси»?
Я запустил nmap по диапазону адресов по порту 8080. Далее из полученного результата прошёлся прокси-чеккером в поисках публичного прокси без авторизации и из положительных результатов выбрал самый близкий ко мне по пингу.
Запустил сканер через него по адресам 172.16.0.0/12 порт 8291 (mikrotik winbox). И! Я его нашёл! Без пароля!
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/l4/bd/to/l4bdtojfg1qabfdfm-ve81scgju.png)
То есть за роутером с прокси есть ещё один — Mikrotik без пароля. Гипотеза подтверждена: за прокси могут быть целые незащищённые сети.
Только на тот момент я недооценивал масштаб «незащищённости», который я случайно нашёл.
В поисках Немо владельца системы
Так как я придерживаюсь принципов Grey hat (Обо мне mysterious Russian-speaking grey-hat hacker Alexey и статья на Хабре) и «съел собаку» на безопасности Mikrotik, то я принялся искать владельца системы, чтобы связаться с ним.
Кстати, заходите в Телеграм чат «RouterOS Security» t.me/router_os
Недолго думая я поднял исходящий VPN до себя. Всё же комфортней через нормальный туннель дальше изучать сеть и искать признаки владельца системы. HTTP connect — ещё тот геморрой…
За интерфейсами ether1 и bridge ничего интересного не обнаружил. Найденные камеры были абсолютно не информативными.
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/5u/ef/6x/5uef6xa3gvulv58gxtotpmszw3s.png)
А вот сканирование vpn, отмеченные красным на скрине выше, выдало более 20 000 устройств…
Причём более 1000 штук — микротики. Огромное количество устройств с заводскими паролями.
Вот некоторые из найденных сервисов с паролями по умолчанию:
1. Камеры наружного наблюдения — подавляющее большинство.
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/dv/jk/7o/dvjk7oitfsif9tfoefztwn1puhe.png)
Ещё камеры
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/__/tf/l4/__tfl4168fzgh_eqtoxvwa88hta.png)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/eq/x8/0i/eqx80itbsipvs35xfl2une1i8ag.png)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/fe/9h/f_/fe9hf_cg4itx-movyouhzrh3cfg.png)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/xl/gx/dl/xlgxdlsugyfr_o9ccbfef1kcfeo.png)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/le/ne/pp/lenepp3agrgchbh_w6xdnc02pcw.png)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/__/tf/l4/__tfl4168fzgh_eqtoxvwa88hta.png)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/eq/x8/0i/eqx80itbsipvs35xfl2une1i8ag.png)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/fe/9h/f_/fe9hf_cg4itx-movyouhzrh3cfg.png)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/xl/gx/dl/xlgxdlsugyfr_o9ccbfef1kcfeo.png)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/le/ne/pp/lenepp3agrgchbh_w6xdnc02pcw.png)
Даже офисы внутри
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/5b/fn/jf/5bfnjfzuuvs-jc81v3embpzxbdg.png)
Камер, по скромным ощущениям, не менее 10 000 штук. Производители разные: beward, axis, panasonic и т.д.
2. Ip-телефоны и FreePBX сервера также большое количество.
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/nr/qi/qi/nrqiqik-hn5thfk0_xfuq00xd6u.png)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/9c/ok/wm/9cokwmwusodvobvbfuknxvkvmsi.png)
3. IPMI серверов:
Asus
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/bl/qi/qe/blqiqeaqvqa2aiiwan2yvhrr1bs.png)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/bl/qi/qe/blqiqeaqvqa2aiiwan2yvhrr1bs.png)
Dell (их подавляющее большинство)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/vg/jf/1c/vgjf1ch2otu2z__mwiijyedyw9m.png)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/wm/cb/l4/wmcbl4o1twnpy8cdinnnsyijt2y.png)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/vg/jf/1c/vgjf1ch2otu2z__mwiijyedyw9m.png)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/wm/cb/l4/wmcbl4o1twnpy8cdinnnsyijt2y.png)
Supermicro
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/g6/wt/cl/g6wtcl_ajxw1hzlevx41hm8-nis.png)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/g6/wt/cl/g6wtcl_ajxw1hzlevx41hm8-nis.png)
Из серверов виртуализации встречаются ESXi, Proxmox и oVirt
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/jz/5b/wy/jz5bwy12eoilludlpxowafnbokq.png)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/9w/5v/z6/9w5vz6fjuireshajs720457veei.png)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/jz/5b/wy/jz5bwy12eoilludlpxowafnbokq.png)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/9w/5v/z6/9w5vz6fjuireshajs720457veei.png)
Много узлов кластера Proxmox (по поднятым сервисам и трафиком между ними.)
4. Преобразователи ethernet во 'что угодно' (Moxa UniPing etc)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/am/a-/t1/ama-t1gewcc--jvh29pr6tn84r4.png)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/oj/dz/u9/ojdzu9h6dmoc3nqu_p4xmcpr0ok.png)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/am/a-/t1/ama-t1gewcc--jvh29pr6tn84r4.png)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/oj/dz/u9/ojdzu9h6dmoc3nqu_p4xmcpr0ok.png)
5. Системы управления ИБП
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/dv/ks/ql/dvksqlflz8g198bjcxdchvhv7pk.png)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/4h/l6/o9/4hl6o94ssjyynzhgbm-og2tk7tg.png)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/dv/ks/ql/dvksqlflz8g198bjcxdchvhv7pk.png)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/4h/l6/o9/4hl6o94ssjyynzhgbm-og2tk7tg.png)
6. Сетевое оборудование
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/oz/ve/cs/ozvecscvvbnivisa9uwrinktk8a.png)
Разумеется, много различных роутеров. Как уже сказано выше, мне больше интересны Микротики. Подавляющее большинство с последней прошивкой и пароли не пустые. Но есть без паролей и с устаревшими прошивками.
Туннели наружу подымаются легко. То есть фильтрации исходящих коннектов практически нет.
Более того огромное количество микротиков со включенным прокси, аналогично тому, при помощи которого я и попал в эту сеть… Кстати, туннели через них тоже замечательно подымаются.
Не полный кусок лога по прокси.
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/sv/bn/9j/svbn9j5-kmhi7rq5vimz4glpn4i.png)
Такое ощущение, что интегратор, который строил сеть, специально оставил этот доступ.
И все же кто же хозяин?
Думаю, что уже все и так догадались.
Это я пробежался по верхушкам в рандомном порядке. Потратил я на это чуть больше 20 минут, чем автор статьи про Сапсан.
Это здец. Сеть просто в решето.
Причём это устройства по всей РФ.
Например, вот это вокзал Уфы
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/l4/e3/la/l4e3lausxiy-g5xfmwxiks8mfoo.png)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/l4/e3/la/l4e3lausxiy-g5xfmwxiks8mfoo.png)
Антропово Костромской области
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/dn/cl/kl/dnclklymntaskmerc3nopuy5lmg.png)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/dn/cl/kl/dnclklymntaskmerc3nopuy5lmg.png)
Развёрнута профессиональная система видеонаблюдения.
Нашёл презентацию по вокзалам.
macroscop
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/rz/tv/td/rztvtdtv8l4rnpctgwkqcu70bve.png)
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/rz/tv/td/rztvtdtv8l4rnpctgwkqcu70bve.png)
Находил Кемерово, Новосибирск, Омск и т.д. По внешнему виду вокзалы сложно определить. К тому же я поездом уже лет 5 не ездил.
Как же так получилось?
Я всегда считал, что уязвимости в корпоративных сетях появляются из-за ошибок или специальных действий безграмотных сотрудников. Первое что пришло мне в голову — это некий сотрудник по разрешению СБ поднял у себя из дома VPN до рабочей сети на микротике в своей домашней сети. Но в данном случае эта моя гипотеза разбилась как только я увидел обратный резолв адреса через который я попал на этот Микротик.
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/s6/at/ur/s6aturbo227gw3deo-zge_ei9nk.png)
То есть это один из шлюзов в мир из сети РЖД. Ну и в сеть РЖД тоже…
Получилась вот такая картина:
- Вероятно, что это один из офисов РЖД, который прилинкован к основой сети через l2tp.
- Я попадаю в сеть где межсетевые экраны отсутствуют как класс.
- Запускаю интенсивное сканирование хостов — у меня соединение не рвётся. Значит о системах обнаружения вторжения (IDS/IPS) РЖД тоже ничего не слышал. Микротик может замечательно интегрироваться, например Suricata
- Обнаружил кучу устройств без защиты. Это говорит, что службы сетевой безопасности в РЖД так же нет.
- Много устройств с дефолтными паролями. То есть политики паролей тоже нет.
- С Микротиков внутри сети я легко поднял туннели. То есть исходящий трафик не контролируется.
- Я вижу все интерфейсы управления в одной сети с клиентскими сервисами. Админы РЖД ничего не знают о Management VLAN
«Российские железные дороги» провели проверку после взлома мультимедийной системы поезда «Сапсан» одним из пассажиров, критических уязвимостей не обнаружено.
Так дайте ответ, Евгений Игоревич, какой «Юный натуралист» проводил расследование и не заметил гнездо со слонами?
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/cb/sk/ff/cbskffz08muaxctkuvanum7fmza.png)
У меня лично есть всего три варианта ответа на этот вопрос:
1. У Вас исходно плохая команда.
Проверку проводил тот же отдел, который и проектировал/обслуживает систему. Отрицая проблему, они или сохраняют свою работу, или преследуют иные цели.
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/da/g8/cx/dag8cxicxibfo1_9nt8bxaflfvg.png)
2. Вы доверились не тому специалисту. Аудит проводил некомпетентный сотрудник.
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/1v/ht/b9/1vhtb9bk-fxvwqeaa53z7kel-wk.png)
3. Вы и так знаете о проблеме, но по каким-то неведомым причинам не можете ее публично признать и решить.
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/jj/wz/al/jjwzal0koud1bmdxlok3trt4egk.png)
Что нужно изменить, чтобы снизить вероятность возможных последствий?
Далее чисто мой взгляд на решение данной ситуации. Он ничего общего не имеет с мировыми best practices.
Так же, сразу оговорюсь, что проблема касается только обнаруженной мною сети видеонаблюдения. В других сегментах сети РЖД, очень надеюсь, всё намного лучше.
1. Нанять сетевых аудиторов, которые помогут найти и закрыть самые «зияющие» дыры.
2. Нанять крутых системных архитекторов, которые имеют богатый опыт построения больших сетей. И не факт, что это будут российские специалисты. Перед ними поставить следующие задачи:
2.1. доработать текущую инфраструктуру до безопасного состояния за минимальные средства (зачем вкладывать много денег в проект, который скоро разберут)
2.2. разработать новую полноценную инфраструктуру, отвечающую всем требованиям безопасности и план поэтапной миграции.
3. Нанять подрядчика, который будет реализовывать в жизни данные проекты и передавать на эксплуатацию сетевикам РЖД.
4. После сдачи проектов провести аудит безопасности инфраструктуры.
5. По окончанию пентестов своими силами объявить Bug Bounty
Чтобы мотивировать аудиторов и внутренних специалистов работать качественно, надо объявить лимит на количество и серьёзность уязвимостей, которые могу найти участники программы Bug Bounty. Если внешние специалисты найдут багов меньше лимита, то свои аудиторы получают премии. Если багов будет больше лимита, то штрафовать.
В дальнейшем службу внутреннего аудита информационной безопасности оставить на постоянку и премии формировать уже на основании обнаруженных багов и их устранении.
Разумеется, что схема имеет огромное количество подводных камней, которые за время написания статьи предусмотреть не возможно.
Заключение
Я не единственный кто нашёл данные уязвимости. Очень много признаков, что в этой сети кто-то «живёт».
Например, вот эти линки я уже встречал не раз на роутерах, никак не относящихся к РЖД.
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/ca/b3/ub/cab3ubarc1lx9fgre7s0_d5aaz4.png)
Все информационные системы уязвимы априори. Когда их вскроют — зависит от интереса злоумышленников к ним, беспечности создателя и времени, которое они на это потратят.
Основой основ безопасности является ограничение доступа к системам при несанкционированном проникновении в одно устройство.
В случае с Сапасаном, чтобы через полученный VPN доступ можно было увидеть только один сервис — с которым взаимодействует пользователь системы, а не всю сеть РЖД…
Я старался достаточно жирно намекнуть на узкие места не раскрывая деталей и надеюсь, что специалисты РЖД их всё же увидят.
Связаться со мной можно через телеграм t.me/monoceros
Обсудить данную статью приглашаю в профильный чат по Микротикам в Телеграм «RouterOS Security»: t.me/router_os
Кстати, Евгений Игоревич, с повышением!
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/e5/hl/r2/e5hlr27xq3kt30wy6kd-pkt6dfu.png)
Источник
![](https://webcf.waybackmachine.org/web/20210126052419im_/https://habrastorage.org/webt/mm/-s/ih/mm-sihdmzqxvdl37chtkldqdnzs.png)
Комментарии 974
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.