Apteka #4
Сижу сегодня и читаю новости - говорит наш СОО
"Пользователи могут столкнуться с задержками при входе в приложение и получении кодов подтверждения, рассказали в Сбере.
В банке уточнили, что все отправленные SMS-коды сохраняются в истории уведомлений и будут доступны при подключении к стабильному интернету или Wi-Fi.
Банкоматы и офисы банка работают в штатном режиме, контакт-центр по номеру 900 остается на связи."
И действительно, коды доходят плохо или не доходят вообще.
Вы спросите, а причем тут хакинг и редтим?
Да все очень просто, порой, вещи которые уже кажутся давно вплетенными в нашу жизнь не вызывают ни эмоций ни внимания, вот например - sms подтверждение. Ну есть у всех, все умеют его делать, совершенно понятная архитекура и бла бла бла.
Короче, идет у нас RedTeam проект, работает группа веб-пентестеров (ну или исследователей уязвимостей если угодно) и в скоупе у них 12 доменов, что-то там 1000 + url’s которые надо проверить, есть 4 гипотезы по поводу каких-то компонентов, найденных на периметре, короче , как на картинке
Не то чтобы все это было нужно, но проверять надо все, а ресурс и мозговые силы не бесконечны.
И тут , то , что обычно проверяется из лени - а может быть у нас нет никакой защиты от перебора OTP паролей на сервисах - да не , бред какой-то.
Тезисы из внутренней дискуссии:
1. Организация очень хорошая со зрелым ИБ и вроде сервис такой, ну чувствительный, что не прикопаешься и там должны были вдоль и поперек понюхать, это ж на любом джун обучении.
2. Вот на другом сервисе, там вроде как есть бага, которой 3 дня отроду, но вроде и нет, вот бы нам понять что там за версия…
3. Да у нас еще копать и копать, еще не все профазили
«Критичная уязвимость в сервисе двухфакторной аутентификации. Позволяет обойти ограничения на второй фактор и проходить регистрацию, сбрасывать пароли и прочее.»
а вот и банальный скриншот, на котором видна победа
Итог - критичная уязвимость, позволяющаяя делать все что угодно с аккаунтами на серъезном промышленном сервисе, которая была найдена в рамках рядовой обязательной проверки на RedTeam проекте.
Выводов не будет - никто не застрахован от ошибок конфигурации, недосмотра, банальной невнимательности и прочего.
Считаю, что важнее всего думать о своих важных активах , делать все должное для их защиты и переодически проверять.
Бывают RedTeam, где в последний день результат дает 0-day который наковыряли на opensource компоненте, а бывают , где задачи проекта выполняются тасками из категории CTF для начинающего специалиста.
И то и другое имеет одинаковый разрушительный итог и то и другое может стать поводом для публичных заявлений в интернете и признаний в неработоспособности сервисов, утечки данных или же потери денежных средств клиентов.
Ну да ладно, это история успеха. В следующих раз обещаю рассказать историю неуспеха, про то, что крякало как утка, плавало как утка, выглядело как утка, а в итоге оказалось хитрым гусем. Сказ про то, как упороть 4 редтимера за 3 ночи и получить огромное, ужасное, черное НИЧЕГО. Как говаривал Леонид Каневский - это уже совсем другая история.
Следите за нашим приключением в RedTeam команде Apteka , мы те , кто расскажет и покажет не только успешный успех, но и истории неуспеха боль, кал, пот, слезы и ступор мозговины.