CASE STUDY

VERIFICA DELLA SICUREZZA DI UN’APPLICAZIONE SAAS SOCIO SANITARIA

IL RUOLO CHIAVE DELLA GESTIONE SICURA DELLE CREDENZIALI DI ACCESSO AI SISTEMI

Un utile esempio pratico di come una leggerezza nella gestione di una password di un’applicazione potrebbe consentire ad un attaccante malintenzionato di ottenere il controllo dell’intero dominio aziendale.

OGGETTO

Software house con all’attivo diverse applicazioni gestionali, distribuite come sofware as a service e fruite dalla clientela sotto forma di applicazione web.

L’infrastruttura cloud oggetto delle analisi eroga servizi per strutture socio/sanitarie.

OBIETTIVO

Valutare i possibili impatti sulla rete interna qualora un’attaccante avesse compromesso gli host direttamente esposti a Internet.

METODO DI ANALISI

L’obiettivo della verifica ha richiesto l’esecuzione di un Vulnerability Assessment (VA) del sistema informativo interno ed esterno e di un Penetration Test della rete interna in modalità grey box.

L’attacco alla rete interna si è svolto attraverso l’inserimento di un nostro dispositivo all’interno della rete, con lo scopo di simulare una compromissione di una delle postazioni/server.

VULNERABILITÀ RILEVATE

01

CONFIGURAZIONE APP WEB

Dopo una breve analisi delle macchine accese, ci siamo concentrati su un server che esponeva una nota applicazione web per la gestione delle paghe.

Attraverso una breve ricerca online è stato possibile risalire al manuale di installazione dell’applicazione che mostrava le procedure di configurazione e creazione degli utenti.

Il processo di creazione dell’utente amministratore riportava nel manuale una password d’esempio che si è rilevata essere quella effettivamente impostata.

Una volta ottenute le credenziali d’accesso, grazie alla possibilità di installare software dal pannello amministrativo, attraverso alcune tecniche abbiamo ottenuto il controllo della macchina (server).

1-2 credenziali utente locale
02

CREDENZIALI UTENTE LOCALE

L’analisi del dispositivo violato (Windows) ci ha fornito numerose informazioni nonché la password di un utente locale con privilegi elevati e accesso al sistema via desktop remoto.

Come abbiamo individuato la password? Era salvata in chiaro in un file txt sul desktop.
Probabilmente si trattava di un account creato ed utilizzato dai fornitori per accedere alla macchina per eseguire la manutenzione.

03

CREDENZIALI ADMINISTRATOR LOCALE

Sfruttando questa utenza siamo riusciti poi ad estrarre alcune password dalla memoria, tra le quali quella dell’utenza Administrator locale (l’utente con i privilegi più elevati di quella postazione).

Una volta scoperto che la password era identica per tutti gli Administrator delle postazioni, abbiamo potuto autenticarci e prendere il controllo in moltissimi dispositivi.

1-3 credenziali administrator di dominio
1-4 accesso al controller di dominio
04

CREDENZIALI ADMINISTRATOR DI DOMINIO

Tuttavia, le postazioni facevano parte di un dominio aziendale e quindi l’ultimo passo per diventare amministratori dell’intera infrastruttura era la compromissione del server centrale: il controller di Dominio, che contiene e controlla tutte le utenze.

Sfruttando l’utenza dell’amministratore locale, abbiamo potuto estrarre la password di un utente amministratore di dominio su una delle postazioni cui poteva accedere (in questo caso l’utente amministratore di dominio aveva fatto l’accesso e aveva lasciato delle tracce).

Con le credenziali dell’amministratore di dominio è stato possibile autenticarsi nel controller di dominio ed a questo punto eravamo diventati amministratori del dominio aziendale e di tutte le postazioni/server.

VALUTAZIONE DELLE VULNERABILITÀ

Grazie alle attività di Vulnerability Assesment e Penetration Test, abbiamo potuto rilevare numerose criticità di sicurezza all’interno del perimetro aziendale, quali configurazioni di default lasciate su sistemi gestiti da fornitori esterni, assenza di politiche di gestione delle password, assenza di sistemi di intrusion detection (IDS) e prevention (IPS).

La gravità di queste “leggerezze” poteva portare alla perdita del controllo dei sistemi e alla fuoriuscita di dati anche sensibili (in questo caso dati sanitari) con un danno reputazionale ed economico incolmabile.

La valutazione delle minacce rilevate ci ha consentito di progettare un’adeguata strategia di rimedio e di supportare il cliente nelle implementazioni per la risoluzione delle problematiche e nell’hardening dell’infrastruttura.

SCOPRI I SERVIZI

vulnerability assessment servizi di cybersecurity

VULNERABILITY ASSESSMENT

penetration test linkspirit

PENETRATION
TEST

INIZIA SUBITO A PROTEGGERE LA TUA AZIENDA

CONTATTACI PER MAGGIORI INFORMAZIONI