Infrastructuurpenetratietest en Configuratie-audit voor Ticketverkoop bij een Openbaarvervoermaatschappij

Key Challenges

Onze klant is een openbaarvervoermaatschappij die het grootste deel van het publieke transport in zijn regio beheert, waaronder trams, trolleybussen en bussen.

De klant wilde de veiligheid van zijn ticketinginfrastructuur beoordelen. Deze infrastructuur omvatte alle machines en diensten die verband houden met de verkoop van vervoerbewijzen. Om dit te doen, hebben we een configuratie-audit van de services van de klant uitgevoerd, evenals een penetratietest van de infrastructuur.

De scope bleef beperkt tot de 5 servers die de configuratie, het beheer en de opvolging van de ticketautomaten mogelijk maakten.

Aanpak

Services Configuration Audit

Onze experts begonnen met een configuratie-audit op de door de klant geïdentificeerde services. Het team van de klant heeft ons toegang verleend tot accounts met sterke leesrechten, waardoor we toegang hebben tot de configuratiebestanden van hun services. Het doel van de audit was om de volwassenheid van de beste beveiligingspraktijken voor de volgende producten te beoordelen: Postgre SQL, Zabbix, RedHat, enz., en om aanbevelingen te doen om deze te verbeteren.

We concludeerden dat best practices op het gebied van beveiliging niet werden toegepast door het operationele team.

Infrastructuurpenetratietest

Vervolgens hebben we een penetratietest met grijze dozen uitgevoerd, nadat we een VPN-toegang tot de infrastructuur hadden gekregen.

De penetratietest bracht kritieke kwetsbaarheden aan het licht die een aanzienlijke impact hadden kunnen hebben op de ticketinginfrastructuur als ze onopgemerkt waren gebleven. Onder de kwetsbaarheden werden veel standaardwachtwoorden ontdekt, evenals kwetsbaarheden met betrekking tot de services (PostgreSQL, Zabbix, Docker). In dit geval waren de services niet up-to-date, waardoor onze penetratietesters toegang konden krijgen tot de servers. Vervolgens zou het mogelijk zijn geweest om de configuraties van de services en het bedrijf in het algemeen te beïnvloeden, inclusief de prijzen van vervoersnetwerkkaartjes.

De penetratie identificeerde kritieke kwetsbaarheden op de geïdentificeerde perimeter:

• Standaard en zwakke wachtwoorden
• Verouderde versies van de tools
• RCE-kwetsbaarheden (Remote Code Execution).
• Beschikbaarheid van gevoelige gegevens op gedeelde mappen
• Beschikbaarheid van de productieomgeving vanuit de pre-productieomgeving

Over het algemeen hebben we significante afwijkingen van goede beveiligingspraktijken, verkeerde configuraties en een gebrek aan productupdates ontdekt die de bedrijfsvoering en de klant als geheel in gevaar brachten.

In a fictional scenario, our experts concluded that if attackers had gained access to the infrastructure’s internal network of the client, they would have been able to impact the perimeter extensively and would have had the ability to pivot to the rest of the client’s infrastructure as well as its suppliers.

In conclusion, we graded the security of the infrastructure as “very insufficient“.

Benefits

In een fictief scenario concludeerden onze experts dat als aanvallers toegang hadden gekregen tot het interne netwerk van de klant, ze de perimeter uitgebreid hadden kunnen beïnvloeden en ook de mogelijkheid hadden gehad om naar de rest van de infrastructuur van de klant te gaan. als haar leveranciers.

De aanbevelingen van onze penetratietesters omvatten:

• Standaardwachtwoorden wijzigen en complexe wachtwoorden gebruiken
• Geen bestanden bewaren die niet-versleutelde wachtwoorden bevatten
• Diensten bijwerken
• Permissies controleren op gevoelige bestanden en accounts op alle servers
• Het decoreren van productie- en pre-productieomgevingen
• Databaseback-ups versleutelens

De klant heeft nu een globaal overzicht van zijn infrastructuur, een gedetailleerde lijst met beveiligingsfouten en hoe deze te corrigeren, evenals algemene beveiligingsaanbevelingen. Uitgerust met deze kennis kon de klant de nodige acties ondernemen om zijn infrastructuur te beveiligen.