Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Описание угрозы

Подразумевается сетевой доступ в операционную среду телефона, т.е. доступ к административной панели прошивки телефона, получение возможности запуска на выполнение штатных команд, функций, процедур.

Описание уязвимости

Брутфорсом называется метод взлома различных учетных записей, путем подбора логина и пароля. Термин образован от сочетания английских слов brute force, означающих в переводе «полный перебор». Еще брутфорс называют методом грубой силы. Его суть заключается в автоматизированном переборе всех допустимых комбинаций пароля к учетной записи с целью выявления правильного. Подробнее

Злоумышленник может попытаться подобрать пароли к учетным записям. Подбор пароля методом перебора может принимать или не принимать во внимание парольную политику (сложность пароля или блокировку учетной записи). 
Перебор паролей может привести к многочисленным сбоям аутентификации и блокировкам учетных записей, в зависимости от парольной политики.
Обычно целевые службы для подбора пароля следующие:
  • SSH (22/TCP)
  • Telnet (23/TCP)
  • FTP (21/TCP)
  • NetBIOS / SMB / Samba (139/TCP и 445/TCP)
  • LDAP (389/TCP)
  • Kerberos (88/TCP)
  • Службы RDP / Terminal (3389/TCP)
  • Службы управления HTTP/HTTP (80/TCP и 443/TCP)
  • MSSQL (1433/TCP)
  • Oracle (1521/TCP)
  • MySQL (3306/TCP)
  • VNC (5900/TCP)
Попытки перебора пароля злоумышленником могут регистрироваться в журналах атакованных служб.

Описание типа актива

Телекоммуникационное устройство, обеспечивающее возможность голосового общения удаленных абонентов, использующее в качестве среды для передачи голоса IP-сеть, посредством которой он подключён к прокси-серверу провайдера IP-телефонии или IP-АТС, VoIP-серверу.
Объекты атаки IP телефон
Классификация
Иное: НСД ? Несанкционированный доступ / Unauthorized access Доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа инф...
Источники угрозы
Внешний нарушитель - Низкий потенциал ? Внешний нарушитель Находящийся вне информационной системы на момент начала реализации угрозы. Для реализации угроз в информационной системе внешний нарушитель...
Внутренний нарушитель - Низкий потенциал ? Внутренний нарушитель Находящийся внутри информационной системы на момент начала реализации угрозы. К внутренним нарушителям относят инсайдеров, несмотря на то...

Каталоги угроз

БДУ ФСТЭК:
УБИ.027 Угроза искажения вводимой и выводимой на периферийные устройства информации ? Унаследовано от входящей в состав риска угрозы
Угроза заключается в возможности дезинформирования пользователей или автоматических систем управления путём подмены или искажени...
УБИ.115 Угроза перехвата вводимой и выводимой на периферийные устройства информации ? Унаследовано от входящей в состав риска угрозы
Угроза заключается в возможности осуществления нарушителем несанкционированного доступа к информации, вводимой и выводимой на пе...
Техники ATT@CK:
T1110.001 Brute Force: Password Guessing ? Унаследовано от входящей в состав риска уязвимости
Adversaries with no prior knowledge of legitimate credentials within the system or environment may guess passwords to attempt ac...

Связанные защитные меры

Название Дата Влияние
Community
3 3 / 48
Приведение конфигурации IP телефонов в соответствие требованиям безопасности
Ежегодно Вручную Техническая Превентивная
29.07.2021
29.07.2021 3 3 / 48
Цель: защита IP телефонов от несанкционированного доступа и эксплуатации.

Пример требований безопасности к конфигурации IP телефонов:
  1. Смена пароля для учетной записи администратора
  2. Обновление прошивки IP телефонов до крайней стабильной версии
  3. Отключение неиспользуемых/небезопасных портов/протоколов
    1. HTTP (порт 80)
    2. Telnet (порт 23)
    3. VxWorks debugger (порт 17185) 
  4. Настройка встроенного межсетевого экрана
Отключение портов/протоколов осуществляется или соответствующими пунктами меню (например у Yealink) или через настройку встроенного межсетевого экрана (например у D-Link).

Инструкция к регулярной задаче
  1. Найти в локальной сети все IP телефоны
    Для поиска IP телефонов можно использовать nmap с такими параметрами: nmap -p 5060,5061 --open 192.168.1.0/24
  2. Проверить текущие настройки и версию прошивки.
  3. Если требуется - провести настройку в соответствии с установленными требованиями
Рекомендации к заполнению карточки:
  • Описать требования к безопасной конфигурации
  • Добавить в заметки к мере Инструкции по настройке IP телефонов различного типа
  • Добавить шаблон регулярной задачи по проверке и настройке конфигурации IP телефонов;
Community
3 11 / 64
Выделение периферийного оборудования и IP телефонов в отдельную сеть (сегментация сети)
Разово Вручную Техническая
29.07.2021
29.07.2021 3 11 / 64
Цель: защита ключевых активов от несанкционированного доступа на сетевом уровне со стороны периферийного оборудования и IP телефонов.
 
К периферийному оборудованию могут относятся принтеры, сканеры, IP телефоны и иные устройства подключаемые к локальной сети компании.
Обязательным условием сегментации является ограничение доступа в выделенный сегмент и из него.
Пример политики ограничения доступа к сегменту периферийного оборудования:
  • доступом к выделенному сегменту могут обладать только серверы управления (сервер IP телефонии, сервер печати). 
  • Доступ из выделенного сегмента возможен также только к серверам управления. Доступ к локальным сетям с рабочими станциями и доступ в интернет заблокированы.
Часто мера в части ограничения доступа сложно реализуема. Например если подключение рабочих станций к принтерам осуществляется по сети напрямую а не через сервер печати. Или если IP телефон подключен в одну сетевую розетку с рабочей станцией. В таких случаях следует настроить более широкие права доступа к сегменту и из него.
Реализация: настройкой сетевого оборудования (VLAN).
После реализации защитной меры следует внедрить меру по регулярному поиску периферийных устройств в локальных сетях, с целью их переноса в выделенный сегмент.

Рекомендации к заполнению карточки:
  • Указать перечень сегментов и их назначение 
  • Описать способы/технологии сегментации
  • Описать как настроено ограничение доступа (ACL)
  • Если сети учитываются в реестре активов - привязать их к карточке в качестве инструментов (тип актива Локальная сеть).