Пожалуй, в любой средней/крупной компании пользуются информационно-правовыми системами, наиболее популярные из которых: Консультант, Гарант, Кодекс. У служб информационной безопасности такие приложения часто не вызывают опасений и интереса, но стоит лишь приглядеться ... Рассмотрим особенности одной из систем, с точки зрения возможных угроз для ИТ-инфраструктуры компании - КонсультантПлюс.
У ПО есть web версия и приложение. В корпоративных инфраструктурах приложение устанавливается на сервере и пользователи обращаются к нему по SMB (шаре). Особенности функционирования ПО требуют чтобы у пользователей был доступ на запись в часть каталогов ПО на сервере. Всегда Часто разработчики и администраторы не углубляясь в вопросы безопасности дают пользователям доступ на запись к всему серверному каталогу КонсультантПлюс. А ведь в этом же каталоге находятся и исполняемые файлы программы (CONS.EXE).
Таким образом любой пользователь, которому предоставлен доступ к ПО (часто это все пользователи компании), а так же злоумышленник, получивший учетную запись рядового пользователя, имеют возможность заменить исполняемые файлы ПО на свои. После чего все пользователи, запускающие на своих компьютерах КонсультантПлюс будут запускать уже совсем другое приложение.
Учитывая что критичные подразделения, такие как бухгалтерия, пользуются этим ПО гарантированно часто, угроза для компрометации всей инфраструктуры становится весьма ощутимой.
Заметку написал потому что подобную особенность установки КонсультантПлюс встречал уже в нескольких компаниях. На запрос к разработчикам был получен ответ, что необходимость в правах на запись в серверные каталоги ПО для всех пользователей является архитектурной и не может быть отключена.
Что же делать?
1. Если в вашей инфраструктуре установлен КонсультантПлюс следует детально настроить права доступа, исключив возможность изменения исполняемых файлов, расположенных в этих каталогах: корневой каталог (CONS.EXE), ADM\admin, \HTTPClient.
2. Не стоит полагаться на разработчиков/внедренцев и следует чаще проводить аудит безопасности всех корпоративных приложений, а не только критичных.
Комментариев нет:
Отправить комментарий