Скачиваний:
0
Добавлен:
07.06.2026
Размер:
3.23 Mб
Скачать

МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ,

СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»

(СПбГУТ)

Факультет Информационных технологий и программной инженерии

Кафедра Систем обработки данных

Направление: 09.03.02 Информационные системы и технологии

Профиль: Прикладные информационные системы и технологии

Практическое задание №2

«Работа с инструментами»

по дисциплине

«ИСОБКС»

Выполнил:

студенты группы ИСТ-223

Хакова Ю. М. «____» _________ 2025

Коваленко А. А. «____» _________ 2025

Принял:

ассистент кафедры СОД

Коровкина Е.В. «____» _________ 2025

СОДЕРЖАНИЕ

Y

1 ИССЛЕДОВАНИЕ ЛОКАЛЬНЫХ ИНДИКАТОРОВ 3

2 ИССЛЕДОВАНИЕ СЕТЕВЫХ ИНДИКАТОРОВ 7

3 АНАЛИЗ СЕТЕВЕГО ТРАФИКА 9

1 ИССЛЕДОВАНИЕ ЛОКАЛЬНЫХ ИНДИКАТОРОВ

В ходе проверки системы инструментом ScanOVAL обнаружены уязвимости следующих уровней критичности:

  • Критический уровень;

  • Высокий уровень;

  • Средний уровень;

  • Низкий уровень.

Рисунок 1 – Вывод ScanOVAL

Найденные уязвимости:

1) Критическая – удалённое выполнение кода в службе телефонии Windows (BDU:2025-00448) (Рисунок 2).

Влияние: при успешной эксплуатации злоумышленник может выполнить произвольный код с правами службы/системы и получить полный контроль над хостом.

Для устранения уязвимости рекомендуется установить все критические обновления безопасности Windows (MSRC-патчи), особенно те, что закрывают TAPI/Telephony, если телефонические службы не используются – ограничить доступ через Group Policy / firewall.

Рисунок 2 – Уязвимость критического уровня

2) Высокая – уязвимость в Fuji Electric V-Server и Tellus Lite (BDU:2023-07880) (Рисунок 3).

Влияние: уязвимость затрагивает веб/сервисные компоненты Fuji Electric V-Server / Tellus Lite версии 4.0.18.0 и ниже; при успешной эксплуатации возможны удалённое выполнение кода, обход аутентификации или получение неавторизованного доступа к данным/функциям управления. Особенно опасна в средах OT/IIoT, так как позволяет злоумышленнику влиять на промышленные контроллеры или получить чувствительную информацию.

Для устранения уязвимости рекомендуется обновить V-Server / Tellus Lite до версии, указанной в бюллетене (установить официальный патч/апдейт от производителя); если обновление временно недоступно – ограничить доступ к веб-интерфейсу через firewall/ACL (разрешать соединения только с доверенных IP или через VPN) либо вывести сервис из эксплуатации/перенести в изолированную DMZ. При наличии WAF/IPS – включить правила блокировки подозрительных запросов к V-Server/Tellus.

Рисунок 3 – Уязвимость высокого уровня

3) Средний – уязвимость несанкционированного получения прав Windows NT OS Kernel (BDU:2022-01541) (Рисунок 4).

Влияние: при успешной эксплуатации локальный злоумышленник или вредоносный процесс может повысить привилегии до уровня ядра (SYSTEM), что открывает путь к длительной компрометации, установке драйверов/руткитов и обходу многих средств защиты.

Для устранения уязвимости рекомендуется установить все критические обновления безопасности Windows и обновить драйверы от производителей оборудования, ограничить возможность локальной установки ПО (запрет установки неподписанных драйверов), сократить число локальных администраторов и применять принцип least-privilege. Во временном режиме – отключить/удалить подозрительные или неиспользуемые драйверы/службы, включить защитные механизмы Windows (VBS / Credential Guard), если совместимы с окружением.

Рисунок 4 – Уязвимость среднего уровня

4) Низкий – уязвимости в OpenJDK (Open/DK-2022-01-18) (Рисунок 5).

Влияние: найденные уязвимости низкой степени риска не дают немедленного RCE в большинстве стандартных конфигураций, но могут позволить обход некоторых ограничений, раскрытие информации или усилить эффект других уязвимостей при наличии подходящих условий. Для серверных и критичных приложений рекомендуется обновление.

Для устранения уязвимости рекомендуется обновить все инсталляции OpenJDK до версий, выпущенных после уведомления, а также применять политики управления версиями SBOM для отслеживания используемых JVM-библиотек. Во временном режиме можно ограничить сетевой доступ к JVM-сервисам (firewall, прокси), изолировать приложения в контейнерах/на VLAN и включить контроль запуска (AppLocker/WDAC) для запрещения исполнения неподписанных JAR.

Рисунок 5 – Уязвимость низкого уровня

Вывод: система содержит критические и высокоопасные уязвимости, а также средние и низкие по уровню угрозы. Обновление OpenJDK (Open/DK-2022-01-18) относится к низкой категории риска, однако для серверов и публичных приложений рекомендуется обновление без промедления. В целом необходимо немедленно устранить критические/высокие проблемы и затем поэтапно закрыть средние и низкие — после чего выполнить повторный аудит для подтверждения исправлений.

2 ИССЛЕДОВАНИЕ СЕТЕВЫХ ИНДИКАТОРОВ

В ходе анализа был проведён аудит шлюза 192.168.0.1 с использованием команды nmap -sV.

Рисунок 6 – Вывод команды ipconfig

Рисунок 7 – Вывод команды ping

Рисунок 8 – Вывод команды nmap

Сканирование шлюза 192.168.0.1 показало наличие открытых TCP-портов (53, 80, 81, 139, 445, 49152) и фильтруемого Telnet (порт 23). Анализ MAC-адреса показал, что устройство принадлежит производителю Eltex (операторский маршрутизатор).

На устройстве работают следующие сервисы:

  • DNS: dnsmasq 2.45 (порт 53)

  • Web-интерфейсы администрирования: lighttpd (порт 80), Boa HTTPd 0.93.15 (порт 81)

  • Файловые службы: Samba (порты 139, 445)

  • UPnP: MiniUPnP (порт 49152)

Среди обнаруженных сервисов присутствуют потенциально уязвимые:

  • dnsmasq 2.45 (старый релиз, имеет CVE на DoS и удалённое выполнение кода);

  • Boa HTTPd 0.93.15 (устаревший веб-сервер, для него опубликованы критические уязвимости);

  • Samba 3.X–4.X (опасно при включённом SMBv1 и слабых настройках);

  • MiniUPnP (часто используется для несанкционированного проброса портов и атак из внешней сети).

Вывод: текущая конфигурация имеет низкий уровень защищённости и требует немедленного обновления прошивки и закрытия лишних сервисов.

3 АНАЛИЗ СЕТЕВЕГО ТРАФИКА

В ходе выполнения задания была проведена проверка сетевого трафика с помощью программы Wireshark (Рисунок 9). При запуске захвата пакетов и применении различных фильтров были получены следующие результаты:

Рисунок 9 – Результат проверки сетевого трафика

При применении фильтра icmpv6 в трафике были обнаружены пакеты типа Neighbor Solicitation (Рисунок 10). Эти пакеты относятся к протоколу NDP (Neighbor Discovery Protocol) и служат для установления соответствия IPv6-адресов и MAC-адресов узлов в локальной сети. Таким образом, подтверждается работа механизма обнаружения соседей, аналогичного ARP в IPv4.

Рисунок 10 – Фильтр icmpv6

При использовании фильтра tcp были зафиксированы соединения по нескольким портам, что соответствует установленным в браузере подключениям к веб-ресурсам (Рисунок 11). В пакетах присутствуют стандартные TCP-заголовки (SYN, ACK, FIN), указывающие на начало, подтверждение и завершение сессий.

Рисунок 11 – Фильтр tcp

При применении фильтра http были зафиксированы HTTP-запросы и ответы от удалённых серверов (Рисунок 12). Это свидетельствует о том, что в момент захвата происходил активный обмен данными с веб-ресурсами. В пакетах содержатся стандартные заголовки HTTP-запросов (методы GET/POST, URL, служебная информация).

Рисунок 12 – Фильтр http

Таким образом, захват подтверждает корректную работу сетевых протоколов: ICMPv6 (для проверки связи и диагностики), TCP (как транспортный уровень) и HTTP (как прикладной протокол при обращении к веб-ресурсам).