Recentelijk voerde Onvio een onderzoek uit bij een beursgenoteerd bedrijf die benieuwd was naar het huidige niveau van de beveiliging hun externe IT infrastructuur. Het gaat hierbij vaak om websites, VPN verbindingen, Remote Desktop en andere diensten die over het Internet te bereiken zijn.
Het bedrijf liet wel eens beveiligingsscans uitvoeren op deze systemen maar was benieuwd naar een frisse blik van echte hackers. Hoewel beveiligingsscans een erg nuttige aanvulling zijn, zijn ze geautomatiseerd en daardoor beperkt in het vinden van kwetsbaarheden. Het nut van een realistische test door echte hackers bleek uit de resultaten van dit onderzoek.
Het onderzoek werd uitgevoerd met niets meer dan een aangeleverde reeks van IP adressen, in eigendom van het bedrijf. De eerste stap die onze hackers nemen is het maken van een inventarisatie om duidelijk in kaart te krijgen wat voor diensten er allemaal te bereiken zijn. Vervolgens wordt elke dienst aan een diepgaande test onderworpen om zwakke punten in kaart te brengen en kwetsbaarheden te ontdekken.
Op de verschillende IP adressen werd een groot aantal websites en portals ontdekt die allerlei diensten aanbieden voor medewerkers en derde partijen. Dit soort websites zijn voor hackers een gewild doelwit. Nog steeds blijkt het overgrote deel van de websites die we tegenkomen serieuze lekken te bevatten. Interessant om nader te onderzoeken dus…
Veel websites bevatten serieuze beveiligingslekken.
Naast een aantal Cross Site Scripting (XSS) kwetsbaarheden in diverse websites bleek één website een kritiek lek te bevatten, namelijk een SQL Injectie lek. Met deze kwetsbaarheid kan een kwaadwillende gebruiker de commando’s die de website naar de database stuurt manipuleren. Op deze manier kan een aanvaller gegevens uit de achterliggende database halen waar hij eigenlijk niet bij mag komen.
Hiermee is het gelukt om eenvoudig toegang te krijgen tot alle gegevens in de betreffende database. Maar dat was niet eens het grootste probleem. Via het SQL Injectie lek was het vanwege een onjuist geconfigureerde MySQL server ook mogelijk om commando’s op deze server uit te voeren, onder de root(administrator) account. Dit betekent vaak einde verhaal voor de server en complete toegang voor de aanvaller. In dit geval kon de server worden overgenomen inclusief alle data die daarop stond opgeslagen.
Maar ook dat was nog niet het grootste probleem. Een crimineel die ingebroken zou hebben op deze server had meteen gezien dat hij de jackpot te pakken had. De server waarop de database stond bleek in het interne netwerk en het domein van het bedrijf te hangen. Via deze server is het mogelijk geweest om domeinaccounts over te nemen en uiteindelijk toegang te verschaffen tot het volledige interne netwerk en alle data daarbinnen, inclusief de financiële systemen (SAP).
Via één lek toegang tot vrijwel alle gegevens van het bedrijf.
Uit dit onderzoek blijkt hoe belangrijk het is om software veilig te ontwikkelen én te testen. Wanneer u een stuk software of een website laat ontwikkelen, stelt u dan ook vragen over de beveiligingsmaatregelen die genomen worden? En vindt daar ook een controle op plaats?
Ook kan dit bedrijf zichzelf de vraag stellen hoeveel websites en andere diensten er echt noodzakelijk over het internet aangeboden moeten worden. Vaak blijkt dat veel diensten met kwetsbaarheden eigenlijk niet meer gebruikt werden en niet noodzakelijk zijn. Die hadden dus beter afgesloten kunnen worden. Daarmee worden de risico’s aanzienlijk verkleint.