About Teletype
Join
csinty
@csinty
Today

Отчет по безопасности PECOM (на основе SpiderFoot)

1. Общая информация

Цель: pecom.ru

Выявлено:

  • 1 основной IP-адрес
  • 4 доменных записи
  • 18 SSL-сертификатов
  • 1644 связанных интернет-узла и поддомена
  • 1532 внутренних URL
  • 1929 внешних ссылок
  • 21 корпоративный e-mail
  • 21 ФИО сотрудников
  • 285 телефонных номеров

Это говорит о достаточно большой внешней поверхности атаки (Attack Surface).

Критические находки

1. Компрометация корпоративного e-mail

Обнаружен адрес:

pecom@pecom.ru

Он фигурирует в известных утечках:

  • cit0day.in
  • collection-4-eu
  • collection-4-u
  • onlinerspambot

Риск

Если данный ящик еще используется:

  • возможны попытки credential stuffing;
  • фишинговые атаки;
  • подбор паролей на других сервисах.

Рекомендации

  • проверить актуальность учетной записи;
  • принудительно сменить пароль;
  • включить MFA;
  • проверить журнал входов.

2. Обнаружены домены с негативной репутацией

В отчет попали:

  • dialin.pecom.ru
  • dion.pecom.ru
  • kabinet.pecom.ru
  • m.pecom.ru
  • hr.pecom.ru
  • pecom.ru

Источники:

  • Comodo Secure DNS
  • VirusTotal

Что это означает

Это не обязательно заражение.

Часто подобные метки появляются из-за:

  • фишинга через поддомены;
  • исторических инцидентов;
  • подозрительной активности пользователей;
  • ложноположительных срабатываний.

Необходимо проверить

  • репутацию каждого поддомена в VirusTotal;
  • наличие вредоносных URL;
  • историю инцидентов.

Средний уровень риска

3. Устаревший стек PHP

Обнаружено:

PHP 7.4.33Bitrix Site Manager

Проблема

PHP 7.4 снят с поддержки.

Для него больше не выпускаются исправления безопасности.

Риск

При появлении новых уязвимостей сервер останется без патчей.

Рекомендация

Миграция минимум на:

  • PHP 8.2
    или
  • PHP 8.3

4. Раскрытие технологий

Сервер раскрывает:

X-Powered-By: PHP/7.4.33X-Powered-CMS: Bitrix Site Manager

Риск

Облегчает работу злоумышленнику:

  • определение версии ПО;
  • поиск известных эксплойтов;
  • автоматизированный сканинг.

Рекомендация

Скрыть:

  • X-Powered-By
  • X-Powered-CMS

через конфигурацию веб-сервера.

5. Большое количество поддоменов

Из сертификатов выявлены:

  • sip.pecom.ru
  • upload.pecom.ru
  • my.pecom.ru
  • sentry.pecom.ru
  • learning.pecom.ru
  • wb.pecom.ru
  • vks.pecom.ru
  • go.pecom.ru
  • dion.pecom.ru
  • agent.pecom.ru
  • starroad.pecom.ru

Риск

Каждый поддомен:

  • отдельная точка входа;
  • отдельный набор уязвимостей;
  • отдельная поверхность атаки.

Особенно интересны:

  • upload.pecom.ru
  • my.pecom.ru
  • learning.pecom.ru
  • sentry.pecom.ru

6. Найден файл сертификата

Обнаружен:

https://kabinet.pecom.ru/UserData/Api/cacert-kabinet_pecom_ru.zip

Риск

Низкий.

Сам по себе файл сертификата не является уязвимостью, однако требует проверки:

  • нет ли внутри ключей;
  • нет ли служебной документации;
  • нет ли конфигурационных файлов.

Положительные моменты

HTTPS

Обнаружены:

  • порт 80
  • порт 443

Используются SSL-сертификаты для множества сервисов.

Наличие защитных заголовков

В ряде сервисов присутствуют:

  • HSTS
  • Content-Security-Policy
  • X-Content-Type-Options
  • Permissions-Policy

Это хороший показатель зрелости веб-безопасности.

Использование Qrator

В заголовках обнаружен:

Server: QRATOR

Это указывает на использование DDoS-защиты и фильтрации трафика.

Дополнительные риски

Возможность тайпсквоттинга

Найдены похожие домены:

  • apecom.ru
  • hpecom.ru
  • peccom.ru

и десятки одноименных доменов в других TLD.

Риск

Могут использоваться для:

  • фишинга;
  • подмены платежей;
  • атак на клиентов компании.

Итоговая оценка

Категория

Оценка

Компрометированные e-mail

🔴 Высокий риск

Репутация некоторых поддоменов

🔴 Высокий риск

PHP 7.4 / устаревший стек

🟠 Средний риск

Раскрытие версий ПО

🟠 Средний риск

Большая поверхность атаки

🟠 Средний риск

HTTPS и защитные заголовки

🟢 Хорошо

DDoS-защита Qrator

🟢 Хорошо

Главные выводы для руководства

  1. В утечках данных обнаружен корпоративный адрес pecom@pecom.ru.
  2. Несколько поддоменов имеют негативные репутационные отметки в Comodo/VirusTotal и требуют отдельной проверки.
  3. Используется PHP 7.4.33, который уже не поддерживается и должен быть обновлен.
  4. Инфраструктура содержит большое количество публичных сервисов и поддоменов, что увеличивает поверхность атаки.
  5. Базовые меры защиты (HTTPS, HSTS, CSP, Qrator) реализованы на хорошем уровне.
csinty
Today, 15:22
0 views
0 reactions
0 replies