Comments 9
Уязвимость заложенная на уровне системы, в логи вообще не должны выгружаться пароли: "В целом хранение и передача паролей в открытом виде противоречит базовым принципам безопасности и международным security best practices, на которых, в том числе, основаны и Российские нормативные требования в сфере ИБ."
Да изначально я заметил эту пролему только в диагностических логах, которые выгружаются утилитой. Но проверив весь root / каталог на сервере, кроме конфигов нашел лог файлы с паролем к СУБД в /var/lib/deployed-roles/...... Причем владелец файла root, но права естественно как это бывает у всех -rw-r--r-- то есть читать может любой пользователь оказавшись на хосте.
Так же лог файлы с паролями создаются при установке и обновлении конфигурации на сервере с ролью deployer и к ним тоже будет иместь доступ любой пользователь, оказавшись на хосте. С точки зрения харденинга ОС это не правильно их нужно затирать.
Хорошо что нет паролей к самим, сканируемым активам, они видимо хранятся только в самой СУБД и в шифрованном виде.
А какже гигиеническое требование архитектуры безопасности, что в продуктовой системы в логах не должна фиксироваться никакая критичная информация (про отключеные трейсы - это вообще база).
Но с другой стороны понятно, что приходится подключать все системы заказчика, в том числе и собранные на коленке тяп ляп без всякой архитектуры. Каждый пытается сэкономить, в том числе и на безопасности (или есть ещё у заказчиков популярное обоснование "мы же в закрытом контуре, пусть в логах хранится всё что угодно", не учитывающее, что могут быть подрядчики).
Я бы опрос немного переформулировал. Про пароли в логах отдельно, про чувствительную информацию в логах отдельно. Пароли в логах - это прям беда и косяк разработчиков, а вот чувствительная информация - это зона ответственности заказчика.
По вопросу хорошее замечание, согласен заказчик часто сам определяет, что для него является чувствительной информацией, но при этом на практике часто не проверяет содержимое логов.
Я думаю, проблема ещё и в том, что пользователь системы не может реально контролировать, какие данные собираются в логах и как они формируются. А со стороны разработчика чаще всего нет ни предупреждений о чувствительной информации в логах, ни возможности отключить или фильтровать ее сбор. В итоге получается, что ответственность вроде бы на заказчике, но рычагов влияния у него почти нет.
А вы же сказали это вендору через ТП например? Или сразу на habr?
Вендору напрямую не писал, так как вендор и так в курсе и знаком с системой лучше любого из нас. Такие вопросы важно поднимать публично, потому что открытое обсуждение способствует развитию отрасли, особенно в ИБ, где культура прозрачности пока только формируется. А эта статья мой вклад в то, чтобы сделать процессы в кибербезопасности лучше и безопаснее.
Добрый день! Мы призываем исследователей выстраивать сотрудничество с производителями ПО согласно политике ответственного разглашения — сообщая об этом вендорам для своевременного устранения уязвимостей до того, как это станет известно реальным злоумышленникам.
Мы непрерывно работаем над повышением безопасности своих продуктов. В числе мер по улучшению их защищенности, например, наша программа вознаграждения за найденные уязвимости. В область действия программы входит и продукт MaxPatrol VM. За обнаруженные недостатки в защите исследователи могут получить до 2 млн рублей. С условиями участия можно ознакомиться на сайте.
Команда работает над решением данного вопроса. Пользователям продукта мы рекомендуем перед отправкой логов удалять чувствительные данные.
Благодарю за обратную связь.
Я рад и не сомневаюсь, что команда работает ^+-v над решением и продолжает совершенствовать систему.
Но должен подчеркнуть, что этот изъян - не из числа скрытых или сложных для обнаружения, так как здесь не требуется иметь глубокие знания и опыт в эксплуатации. Все лежит буквально на поверхности и доступно не только исследователям, но и атакующим.
И возникает вопрос:
почему, при наличии в стране десятков крупнейших клиентов, пользователей - банков из ТОП-10, ресурсодобывающих компаний и участников критической инфраструктуры страны, тратящих миллиарды на информационную безопасность, этот вопрос поднимает один человек?
Я.
Может, дело не в деньгах?
Сюрприз в логах MaxPatrol VM — удаляем пароли перед отправкой в поддержку