Исследование критической уязвимости сервиса аутентификации и последствий для медицинских учреждений, относящихся к субъектам критической информационной инфраструктуры
Ключевые слова:
критическая информационная инфраструктура, информационная безопасность, отрасль здравоохранения, уязвимости, инфотелекоммуникацииАннотация
Актуальность. Функциональность вредоносного программного обеспечения за последние годы выросла в экспоненциальной прогрессии. Все больше средств и способов, которыми злоумышленники могут получить доступ к секретным или персональным данным, а также к сведениям, хранящимся на объектах критической информационной инфраструктуры (КИИ), в том числе относящихся к сфере здравоохранения, однако последствия атак на такие объекты приводят к серьезным последствиям. Ярким примером является утечка данных в открытый доступ из базы Единой диспетчерской службы Липецкой области, в которой находилось много информации о пациентах, включая их ФИО и адрес проживания.
Цель. Исследование уязвимости BDU:2022-05212, позволяющей злоумышленнику получать полные права к инфраструктуре. На основе проделанного исследования изучить принципы работы данной уязвимости, а также провести ее классификацию и выявить последствия для объектов КИИ. Составить список мер, необходимых для обеспечения безопасности от атак данного рода. Материал и методы. В данной статье описывается способ получения несанкционированного доступа через административный интерфейс CAS с помощью вызова URL-адреса на странице, которая используется для установки по умолчанию на сервере и создания первого пользователя-администратора. Также экспериментальным образом проведено исследование данной уязвимости, способов ее обнаружения и последствий для субъектов КИИ.
Результаты. В соответствии с Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» рассмотрены определения, позволяющие причислить информационные системы в области здравоохранения к КИИ и рассмотреть актуальный пример утечки данных в данной области по причине уязвимости CAS-сервера на сетевом уровне. В статье также рассмотрены основы работы CAS-сервера, составлена таблица классификации уязвимости BDU:2022-05212 и указана базовая метрика вектора уязвимости по стандартам Федеральной службы по техническому и экспортному контролю. Вывод в данной статье основан на способах обеспечения безопасности от данной уязвимости, а также указаны рекомендации по решению проблемы, если атака уже была совершена ранее.
Результаты исследования позволят повысить уровень безопасности аутентификации в web-приложений и сайтах, применяющих технологии CAS-сервера, организаций, функционирующих в банковской сфере, а также в сфере здравоохранения, относящихся к КИИ.
Заключение. В статье исследован ключевой вопрос – безопасность инфраструктуры субъектов КИИ в области здравоохранения. Данная статья будет полезна для сотрудников отдела информационной безопасности, работающих с объектами КИИ, в особенности функционирующих в сфере здравоохранения, банковской сфере и иных сферах финансовог о рынка.
Библиографические ссылки
1. Обзор компании TRAVELCHAIN. Topurwanto; 2018. Доступно по: https://topurwanto.wordpress.com/2018/03/18/обзор-компании-travelchain/ [Ссылка активна на 15.09.2022]. [Overview of TRAVELCHAIN. Topurwanto; 2018. Available from: https://topurwanto.wordpress.com/2018/03/18/обзор-компании-travelchain/ [Accessed 15th September 2022]. (In Russ.)]
2. Федеральный закон от 26 июля 2017 г. № 187-ФЗ. ФСТЭК России; 2022. Доступно по: https://fstec.ru/tekhnicheskaya-zashchitainformatsii/obespechenie-bezopasnosti-kii/285-zakony/1610-federalnyjzakon-ot-26-iyulya-2017-g-n-187-fz [Ссылка активна на 19.08.2022]. [Federal Law of July 26, 2017 Nо. 187-FZ. FSTEC of Russia; 2022. Available from: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kii/285-zakony/1610-federalnyj-zakon-ot-26-iyulya-2017-g-n-187-fz [Accessed 19th August 2022]. (In Russ.)]
3. Security Incident August 18th 2022. General Bytes Knowledge Base; 2022. Available from: https://generalbytes.atlassian.net/wiki/spaces/ESD/pages/2785509377/Security+Incident+August+18th+2022 [Accessed 15th September 2022]
4. BDU:2022-05212: Уязвимость CAS-сервера General Bytes Crypto Application Server, связанная с подделкой межсайтовых запросов, позволяющая нарушителю создать пользователя c привилегиями admin и изменить произвольные данные на сервере. Банк данных угроз безопасности информации; 2022 Доступно по: https://bdu.fstec.ru/vul/2022-05212 [Ссылка активна на 15.09.2022]. [BDU:2022-05212: A cross site request forgery vulnerability in the General Bytes Crypto Application Server CAS server that allows an attacker to create a user with admin privileges and modify arbitrary data on the server [website]. Data bank of information security threats; 2022. Available from: https://bdu.fstec.ru/vul/2022-05212 [Accessed 15th September 2022]. (In Russ.)]
5. Гельфанд А.М., Лансере Н.Н., Ложкина А.А., Фадеев И.И. Организация концептуальной модели критической информационной инфраструктуры. Методы и технические средства обеспечения безопасности информации. 2020;29: 39–40. [Gelfand AM, Lansere NN, Lozhkina AA, Fadeev II. Organization of a conceptual model of critical information infrastructure. Methods and technical means of ensuring information security. 2020;29: 39–40. (In Russ.)]
6. Кучерявый М.М., Шакин Д.Н., Гвритишвили П.П. К вопросу о сущности и содержании информационной безопасности. Информатизация и связь. 2014;1: 17–20. [Kucheryavyi MM, Shakin DN, Gvritishvili PP. To the question of the essence and content of information security. Informatization and communication. 2014;1: 17–20. (In Russ.)]
7. Миняев А.А., Красов А.В., Сахаров Д.В. Метод оценки эффективности системы защиты информации территориально-распределенных информационных систем персональных данных. Вестник Санкт-Петербургского государственного университета технологии и дизайна. Серия 1: Естественные и технические науки. 2020;1: 29–33. [Minyaev AA, Krasov AV, Sakharov DV. Method of evaluating the effectiveness of the information protection system of geographically distributed personal data information systems. Vestnik Sankt-Peterburgskogo gosudarstvennogo universiteta tekhnologii i dizaina. Seriya 1: Estestvennye i tekhnicheskie nauki. 2020;1: 29–33. (In Russ.)]
8. Сахаров Д.В., Ковцур М.М., Бахтин Д.В. Модель защиты от эксплойтов и руткитов с последующим анализом и оценкой инцидентов. Наукоемкие технологии в космических исследованиях Земли. 2019;11(5): 22–31. [Sakharov DV, Kovtsur MM, Bakhtin DV. Model of protection against exploits and rootkits with subsequent analysis and assessment of incidents. Science-intensive technologies in space research of the Earth. 2019;11(5): 22–31. (In Russ.)]
Опубликован
Лицензия
Это произведение доступно по лицензии Creative Commons «Attribution-NonCommercial» («Атрибуция — Некоммерческое использование») 4.0 Всемирная.
