Хакер #305. Многошаговые SQL-инъекции
Известный хакер HD Moore, создатель Metasploit и директор по безопасности компании Rapid7, обнаружил, что обычное офисное оборудование для проведения видеоконференций часто оставляют открытым для удалённого подключения. В интервью газете NY Times он признался, что в свободное от работы время производит взломы венчурных, нефтяных и фармацевтических компаний США, подключаясь к ним через стандартные устройства для видеоконференцсвязи. Например, недавно он осматривал изнутри офис крупнейшего банка Goldman Sachs.
HD Moore написал скрипт, который за два часа обнаружил около 5000 открытых терминалов видеоконференцсвязи. Ему остаётся только выбирать самые интересные компании, куда нанести виртуальный визит.
HD Moore не хвастался просто так, а на самом деле провёл своеобразную экскурсию для журналиста NY Times и показал ему с десяток таких уязвимостей. Во время демонстрации он имел возможность дистанционно управлять видеокамерой в комнате для конференций, зуммировать изображение. Причём качества объективов хватало, чтобы навести резкость даже на пейзаж за окном, как говорит журналист, он сумел рассмотреть маленькую белочку под кустом в 50 метрах от здания. С таким оборудованием хакер может легко прослушивать конфиденциальные переговоры, если они ведутся в этой комнате, и просматривать секретные документы, которые лежат на столе.
Видеоконференция на базе группового HD-терминала Aethra Vega X7
По словам директора компании Rapid7, планка для взлома систем видеоконференцсвязи снизилась до предела. Если раньше это были сложные устройства, которые подключались по отдельным линиям связи, то сейчас серийные модели работают по IP-протоколу и обычно даже не защищаются корпоративным файрволом (это делается специально для удобства участников конференции, находящихся за пределами корпоративной сети). Хуже того, устройства специально сконфигурированы на автоматический приём входящих вызовов (опять же, для удобства). В некоторых из них такая настройка установлена по умолчанию. Например, HD Moore показывал установленные в разных корпоративных сетях устройства Polycom, и ни одно из них не потребовало пароля, не блокировало контроль камеры и не отключало звук.
Устройства для видеоконференцсвязи специально сконфигурированы на автоматический приём входящих вызовов
А ведь такие терминалы установлены в комнатах для совещаний самых могущественных компаний! На сегодняшний день ещё ни одна из них не сообщала о проникновении в свою сеть через устройство видеоконференцсвязи. Однако, судя по презентации HD Moore, прецедент неизбежно случится очень скоро.
В связи с этим вспоминается, как в декабре 2011 года департамент безопасности Торгово-промышленной палаты США обнаружил, что офисный принтер и термостат отправляют пакеты на китайский IP-адрес.