Компания Documentolog устранила уязвимость в системе

Вчера, 8 августа 2018 года на своей странице в Facebook, ЦАРКА - лицензированная организация, оказывающая услуги пентеста, опубликовала сообщение с заголовком «Найдена критическая уязвимость в казахстанской системе документооборота». 

Согласно сообщению ЦАРКА, была обнаружена критическая уязвимость в системе документооборота Documentolog, которая позволяла получить доступ к деловой переписке всех организаций, использующих Documentolog, а также повысить привилегии атакующего до уровня администратора контроллера домена.

Чтобы разъяснить ситуацию, Генеральный директор Documentolog, Байжан Канафин, разместил свои комментарии по поводу вышеуказанного заявления: 

«ЦАРКА опубликовала на своей странице громкий заголовок о том, что нашли уязвимость в нашей системе документооборота. При этом делают намек, что раз клиентами компании являются крупные государственные организации и на нас уже все работают, и мы претендуем на роль государственной СЭД, то это не может быть без чьей-либо «лапы» или «лобби». А раз так, то имеют право нас взламывать и бороться за сохранность данных, которые есть у нас.

Как нам стало вчера известно, ЦАРКА была нанята одним из наших клиентов на предмет анализа уязвимости их системы электронного документооборота «Documentolog», находящейся в их домене, но работающий по модели SAAS, то есть на наших ресурсах. Cаму систему напрямую взломать не смогли.  Проанализировав запросы, идущие от системы, мы выяснили, что есть запросы с их портала на наш внутренний портал компании. Причем это наш внутренний ресурс компании Documentolog, в котором работает вся компания.

В итоге они послали письмо со встроенным исполняемым кодом с домена нашего клиента в нашу службу технической поддержки. Понятно дело, наша служба открыла это письмо и хакеры смогли перехватить сессию. Таким образом, получили временный доступ ко всем документам нашего портала, к которым имеет сотрудник техподдержки. Соответственно он имел доступ к некоторым внутренним документам, которыми пользуются наши технические специалисты. Это и стало основной находкой для хакеров. После чего, получив доступ к этим документам, они начали использовать полученную информацию для того, чтобы скомпрометировать наших клиентов. 

Вчера 7 августа, когда нам об этом сообщили сотрудники нашего клиента, мы в течение часа исправили все уязвимости. В частности, исключили возможность перехвата сессии, ограничили по правам доступа всех сотрудников и удалили документы с нашей системы с конфиденциальной информацией о наших клиентах.

Безусловно, для нас это было очень полезной информацией, мы были благодарны выявленным уязвимостям, даже подумывали о том, чтобы делать такие тесты на периодической основе. Вроде как договорились со специалистами ЦАРКА на следующей неделе встретиться. 

В итоге, час назад ЦАРКА решили, что зачем упускать шанс лишний раз заявить о себе с помощью дешевого PR и опубликовали пост, который я «расшарил».   Как руководитель компании Documentolog могу сказать следующее:

• Взломать системы самих клиентов у специалистов ЦАРКА не получилось. Основным результатом их взлома стала информация во внутреннем портале компании, хранящаяся там попросту из-за человеческого фактора. Все выявленные уязвимости в отношении нашего внутреннего портала были сразу же устранены, все доступы и пароли к системам наших клиентов были сменены в тот же день. Над этим мы будем постоянно работать.
• Мы полностью частная компания, а не государственная. Каждого клиента мы добивались своим трудом, без чьего бы то ни было давления. Мы разрабатываем свой продукт самостоятельно за собственные средства уже более 10 лет, и к настоящему времени, наверное, это один из самых конкурентоспособных ИТ продуктов в Казахстане. Видимо наши успехи кому-то не дают покоя, и может ЦАРКА всего лишь инструмент. Время покажет. Буду держать в курсе происходящего. 
• Методы, которые использует ЦАРКА, являются не этичными и более того, очень вредными для ИТ страны. Мало того, что они незаконными методами, попадающими под статьи 205, 207 и 208 УК действовали, вместо того, чтобы помочь улучшить ИБ, они нанесли ущерб имиджу казахстанской компании-разработчика.  Они не предупредили компанию о найденных уязвимостях, не просили их устранить. И даже не дали время на их устранение. А просто их опубликовали. Причем как я узнал позже, без согласования с клиентом, который заказывал у них аудит. Так поступают люди, у которых цели, не исправить ситуацию, а что-то другое, включая корыстные.
• Сломать сегодня можно абсолютно любую ИТ систему при должном желании и финансировании. Важно, чтобы компания не стояла на месте и постоянно работала над улучшением своей системы ИБ. Мы это делаем постоянно, поэтому в какой-то мере такие методы имеют свои плюсы, будут держать нас в тонусе. Даже такие крупные гиганты как Майкрософт и Гугл постоянно находят пробелы в безопасности и делают обновления своих систем.
• Со стороны компании Documentolog мы будем очень открыто освещать весь процесс. И максимально прозрачно. Сейчас сам ЦАРКА уже пытается найти оправдания своим действиям, нелепыми заверениями в благородности своих намерений. Но для нас этого не достаточно. Будем изучать их действия и действия клиента с правовой точки зрения. Договорились сделать совместный пресс-релиз, будем обсуждать что именно там будет. Для нас важно, чтобы было опровержение.»

Повторимся, что подробный отчет касательно вчерашней ситуации и мер, принятых для устранения уязвимости, будет опубликован при первой возможности. 

Интервью Канафина Б. записано корреспондентами портала mail.kz