Как CRM становится точкой входа в корпоративную ИТ-систему

Системы управления взаимоотношениями с клиентами (Customer Relationship Management, CRM) являются полезным инструментом, позволяющим решать огромное количество задач, связанных с управлением бизнесом. Однако, иногда они сами могут быть источником угроз для бизнеса.

Представьте ситуацию: кто-то начал общаться с вашими клиентами от вашего имени и выставлять поддельные реквизиты для платежей. Или клиенты стали резко уходить к конкурентам, у которых предложение стало подозрительно похоже на ваше, лишь немного выгоднее. Или вы обнаружили вашу базу клиентов в открытой продаже.

Привет! Меня зовут Геннадий Перминов. Я представляю команду анализа защищенности компании Нейроинформ.

Сегодня поговорим о том, как неправильно настроенная CRM может стать точкой входа в корпоративную ИТ-систему на примере платформы от компании 1С-Битрикс, которая занимает первое место среди платформ управления сайтами и CRM по доле внедрений в российских компаниях.

1. Множество скрытых форм авторизации для подбора паролей

Одной из серьёзных проблем при внедрении различных CRM является неправильное конфигурирование системного окружения веб-решения. В частности, на веб-сервере зачастую оставляют доступы к формам авторизации, которые представляют собой точки входа в систему (эндпоинтов). Это адреса, через которые доступны формы авторизации администратора.

Открытый доступ к таким панелям делает возможными брутфорс-атаки (перебор логина и пароля), если администратор не настроил имеющиеся инструменты: защита от частых попыток авторизации (rate-limiting), капча или блокировка после нескольких неудачных попыток, двухфакторная аутентификация. Результатом такой атаки может быть подбор пароля администратора — а значит, полный контроль над сайтом.

Администраторы знают о необходимости контролировать доступ к важным объектам системы и обычно закрывают правилами веб-сервера доступ к основной форме авторизации /bitrix/admin/. Но при этом некоторые из них не знают или забывают, что атакующему могут быть доступны десятки других мест для входа. Любой файл без настроенного ограничения доступа, и при этом требующий прав администратора, откроет форму входа:

• /%62%69%74%72%69%78/./%61%64%6d%69%6e/index.php
• /bitrix/components/bitrix/desktop/admin_settings.php
• /bitrix/components/bitrix/map.yandex.search/settings/settings.php
• и еще множество других

Например, на форме авторизации, доступной по адресу /bitrix/services/mobileapp/jn.php администраторы не настраивают ограничения и контроль активности с блокировкой подозрительных действий и тогда можно относительно спокойно подбирать пароль.

А еще некоторые эндпоинты (URL-адреса, скрипты и страницы на сервере), к которым администраторы забыли закрыть доступ, могут раскрывать внутреннюю структуру сайта и сервера, подсказывать версии модулей и компонентов (для поиска известных уязвимостей), раскрывать чувствительные данные (например, логи и конфигурации).

2. Возможность узнать имена пользователей

Другим примером неправильной настройки CRM является возможность перечисления пользователей (Account Enumeration) в формах авторизации или через форму смены пароля, в случае ненастроенных имеющихся механизмов защиты: капча, контроль активности с блокировкой, двухфакторная аутентификация.

Этот недостаток конфигурирования, при которой злоумышленник может узнать, какие логины/имейлы существуют в системе, просто перебирая их в запросах и анализируя разницу в ответах. На существующие логины будет один ответ, а на несуществующие – другой.

Это позволяет собрать базу существующих логинов и увеличивает шансы успешного подбора пароля. А в отдельных случаях может раскрыть имена реальных сотрудников для использования в атаках социальной инженерии.

3. Возможность регистрации нового пользователя в обход интерфейса (то есть даже если на сайте нет кнопки «Регистрация»)

Еще одним опасным упущением в настройке системы может быть ошибка администраторов, которые не отключили регистрацию или сделали это только частично. Это может привести к нелегитимнаой регистрации пользователей (non-legitimate registration).

Non-legitimate registration — это ситуация, когда злоумышленник может зарегистрировать нового пользователя, в обход интерфейса (то есть даже если на сайте нет кнопки «Регистрация») и затем использовать его сессию для доступа к чувствительным частям сайта.

Как мы говорили выше, платформа от компании 1С-Битрикс, как фреймворк, предлагает гибкие варианты настройки и поэтому содержит различные стандартные точки доступа (эндпоинтов), в которых может быть вызвана форма авторизации или регистрации.

Администраторам важно помнить, что просто отключение видимой формы регистрации недостаточно и все еще оставляет возможность запроса к формам авторизации по URL:

• /auth/?register=yes
• /crm/?register=yes
• /bitrix/wizards/.../?register=yes

Необходимо ограничивать доступ к таким страницам.

4. Уязвимости сторонних и самописных модулей

Отдельное внимание следует уделить процессу контроля поставщиков сторонних модулей. Например, перед использованием стороннего модуля из Bitrix Marketplace необходимо проверить его сканером на наличие уязвимостей в коде, используется ли фильтрация входных данных, проверка авторизации, защита от атак на веб-приложения (CSRF, XSS и т.д.)

Существует мнение, согласно которому более 80% модулей имеют уязвимости. Если это правда, то это очень много, особенно если учесть, что эти модули ставятся на боевые сайты с реальными пользователями.

Проблема усугубляется тем, что все сторонние и самописные модули, которые не входят в ядро Битрикса, хранятся в папке /local/, на которую администраторы не настраивают файрволл веб-приложения (Web application firewall, WAF). А значит — это первая цель для атаки.

К сожалению, существует лаг между обнаружением уязвимости, информированием клиентов и выпуском патча, производители модулей не всегда своевременно публикуют информацию, даже если знают об уязвимостях. При этом важно скачивать, патчи, только из доверенного источника с сайта разработчика стороннего модуля или из доверенного маркетплейса, так как из в других источниках патчи могут быть уязвимы.

5. Человеческий фактор

Последней в сегодняшнем обзоре, но далеко не последней в обширном списке уязвимостей CRM является человеческий фактор, перед которым может не устоять даже самая совершенная система защиты.

Злоумышленники могут обойти защитные механизмы просто спросив пароль у пользователя. Например, под видом техподдержки, коллеги-удаленщика или нового руководителя.

Или под видом обновления или офисного документа попросить самого пользователя установить бекдор (ПО для скрытного удаленного управления компьютером) или сразу вирус-шифровальщик.

Также проблемой человеческого фактора может быть отсутствие планов реагирования. Такая ситуация не позволяет немедленно остановить действия злоумышленников и приводит к еще большим потерям.

Выводы

Мы рассмотрели лишь часть возможных ошибок в настройке безопасности различных CRM. Например, вне нашего внимания осталась проблема использования устаревших версий с известными уязвимостями. При отсутствии своевременного обновления, злоумышленники могут использовать их для перехвата управления сервером, для вывода системы из строя, кражи данных и т.д.

Любые CRM также подвержены подобным уязвимостям.

Безопасное внедрение системы CRM является сложной задачей. Большое количество небезопасных настроек, применяемых по умолчанию, требует особого внимания специалистов по безопасности, чтобы вместо помощника она не стала для бизнеса источником проблем.

Самым эффективным методом определения зрелости системы и ее готовности противостоять хакерским атакам является проведение независимого тестирования на проникновение. При этом опытные специалисты имитируют реальные действия злоумышленников, пытающихся получить несанкционированный доступ, и следят за поведением системы.

Такой подход позволяет заранее обнаружить слабые места и заранее принять меры по их устранению.

Будьте бдительны, а мы поможем.