Исследовать, известный под ником LMonoceros, рассказал на «Хабре», как ему удалось, ничего не взламывая, проникнуть в сеть РЖД.­ Вышло это практически случайно. Автор рассказывает:

«В интернете очень много бесплатных прокси-серверов. Но кто в здравом уме будет открывать всем желающим выход в интернет через свой роутер? Вариантов по большому счету два: это либо взломанные устройства, либо владелец забыл отключить эту функцию.

Таким образом меня посетила идея проверить гипотезу: “Есть ли жизнь за прокси”?

Я запустил nmap по диапазону адресов по порту 8080. Далее из полученного результата прошёлся прокси-чеккером в поисках публичного прокси без авторизации и из положительных результатов выбрал самый близкий ко мне по пингу.

Запустил сканер через него по адресам 172.16.0.0/12 порт 8291 (mikrotik winbox). И! Я его нашёл! Без пароля!»

LMonoceros признается, что сразу не понял весь масштаб, обнаруженной им проблемы. Пытаясь связаться с владельцем уязвимой системы, он поднял исходящий VPN до себя, чтобы изучить сеть и понять, кому она принадлежит. Так он обнаружил более 20 000 устройств по всей России, около 1000 из которых были девайсами Mikrotik, и огромное количество девайсов оснащалось дефолтными паролями. В их числе были IP-телефоны, FreePBX, сетевое оборудование и так далее.

Автор отмечает, что многие роутеры работали на последних версиях прошивок, были защищены нормальными паролями и не были уязвимы, но хватало и плохо настроенных и необновленных устройств.

В итоге распоряжении исследователя оказался доступ не менее чем к 10 000 (по его «скромным ощущениям») камер наблюдения, производства Beward, Axis, Panasonic и так далее. Картинки с камер демонстрировали железнодорожные вокзалы и станции (внутри и снаружи) и даже офисы изнутри. Стало очевидно, что вся эта инфраструктуру находится в ведении РЖД.

«Я всегда считал, что уязвимости в корпоративных сетях появляются из-за ошибок или специальных действий безграмотных сотрудников. Первое что пришло мне в голову — это некий сотрудник по разрешению СБ поднял у себя из дома VPN до рабочей сети на микротике в своей домашней сети. Но в данном случае эта моя гипотеза разбилась как только я увидел обратный резолв адреса через который я попал на этот Микротик. То есть это один из шлюзов в мир из сети РЖД. Ну и в сеть РЖД тоже», — объясняет LMonoceros.

Хуже того, LMonoceros обнаружил множество признаков того, что в этой сети бывает кто-то еще. К примеру, он пишет, что не раз встречал такие линки на роутерах, никак не относящихся к РЖД.

Обновлением к своей статье исследователь отмечает, что с ним уже связались специалисты РЖД, и они совместно закрыли найденные уязвимости. Также представители РЖД сообщили ТАСС, что уже проводят расследование случившегося и подчеркивают, что «утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет».

6 комментариев

  1. Аватар

    0d8bc7

    14.01.2021 в 16:47

    Ну что, то, что исследователю не пытались угрожать и заткнуть, уже достижение 😀 А то бывали на Хабре и такие рассказы.
    Ну а вознаграждение? Даже с учётом обнародования информации, это было бы справедливо, учитывая, сколько система висела дырявой, сколько могла провисеть ещё и насколько много это могло принести вреда.
    А ведь исследователи, даже зная, что, скорее всего, не получат ничего хорошего в ответ, продолжают делать это. Потому что это может помочь улучшить мир, это хорошо и правильно (злоумышленники и юные натуралисты, хаха). Государство должно быть блгодарно им за это. Именно за нравственностью и честностью великое будущее, а не за страхом перед «законом».

    • Аватар

      broBudd

      18.01.2021 в 11:37

      «Именно за нравственностью и честностью великое будущее, а не за страхом перед «законом».»

      Поддержу! Почему бы этому изданию не стартовать проект типа : Будь гражданином! Обнаружил дыру — сообщи СБ!

  2. Аватар

    Max - 2

    15.01.2021 в 13:06

    Это прекрасно. Я прям благодарен вселенной за такую историю. Конечно читать просто, но на самом деле (как по мне), немного сложно. Нужно было выбрать правильный путь, что бы придти к конечному узлу.

  3. Аватар

    griph

    18.01.2021 в 14:36

    Есть камеры которые работают через облачный сервис который находиться в Китае, что запрещено по соображениям безопасности. Ну а специалистов в РЖД как и в других госконторах не очень то и слушают. Отсюда и все проблемы с безопасностью.

  4. Аватар

    yurasbbs

    19.01.2021 в 09:11

    подчеркивают, что «утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет»
    — ВРАНЬЁ!

  5. Аватар

    weha

    21.01.2021 в 08:43

    Им помогли, а они недовольны…этим идиотам не надо ничего говорить, а для поучения закинуть в сеть вирус и пусть они сексом занимаются

Оставить мнение