ПР2_ИСТ_223
.docxМИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ,
СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»
(СПбГУТ)
Факультет Информационных технологий и программной инженерии
Кафедра Систем обработки данных
Направление: 09.03.02 Информационные системы и технологии
Профиль: Прикладные информационные системы и технологии
Практическое задание №2
«Работа с инструментами»
по дисциплине
«ИСОБКС»
Выполнил:
студенты группы ИСТ-223
Хакова Ю. М. «____» _________ 2025
Коваленко А. А. «____» _________ 2025
Принял:
ассистент кафедры СОД
Коровкина Е.В. «____» _________ 2025
СОДЕРЖАНИЕ
Y
1 ИССЛЕДОВАНИЕ ЛОКАЛЬНЫХ ИНДИКАТОРОВ 3
2 ИССЛЕДОВАНИЕ СЕТЕВЫХ ИНДИКАТОРОВ 7
3 АНАЛИЗ СЕТЕВЕГО ТРАФИКА 9
1 ИССЛЕДОВАНИЕ ЛОКАЛЬНЫХ ИНДИКАТОРОВ
В ходе проверки системы инструментом ScanOVAL обнаружены уязвимости следующих уровней критичности:
Критический уровень;
Высокий уровень;
Средний уровень;
Низкий уровень.
Рисунок 1 – Вывод ScanOVAL
Найденные уязвимости:
1) Критическая – удалённое выполнение кода в службе телефонии Windows (BDU:2025-00448) (Рисунок 2).
Влияние: при успешной эксплуатации злоумышленник может выполнить произвольный код с правами службы/системы и получить полный контроль над хостом.
Для устранения уязвимости рекомендуется установить все критические обновления безопасности Windows (MSRC-патчи), особенно те, что закрывают TAPI/Telephony, если телефонические службы не используются – ограничить доступ через Group Policy / firewall.
Рисунок 2 – Уязвимость критического уровня
2) Высокая – уязвимость в Fuji Electric V-Server и Tellus Lite (BDU:2023-07880) (Рисунок 3).
Влияние: уязвимость затрагивает веб/сервисные компоненты Fuji Electric V-Server / Tellus Lite версии 4.0.18.0 и ниже; при успешной эксплуатации возможны удалённое выполнение кода, обход аутентификации или получение неавторизованного доступа к данным/функциям управления. Особенно опасна в средах OT/IIoT, так как позволяет злоумышленнику влиять на промышленные контроллеры или получить чувствительную информацию.
Для устранения уязвимости рекомендуется обновить V-Server / Tellus Lite до версии, указанной в бюллетене (установить официальный патч/апдейт от производителя); если обновление временно недоступно – ограничить доступ к веб-интерфейсу через firewall/ACL (разрешать соединения только с доверенных IP или через VPN) либо вывести сервис из эксплуатации/перенести в изолированную DMZ. При наличии WAF/IPS – включить правила блокировки подозрительных запросов к V-Server/Tellus.
Рисунок 3 – Уязвимость высокого уровня
3) Средний – уязвимость несанкционированного получения прав Windows NT OS Kernel (BDU:2022-01541) (Рисунок 4).
Влияние: при успешной эксплуатации локальный злоумышленник или вредоносный процесс может повысить привилегии до уровня ядра (SYSTEM), что открывает путь к длительной компрометации, установке драйверов/руткитов и обходу многих средств защиты.
Для устранения уязвимости рекомендуется установить все критические обновления безопасности Windows и обновить драйверы от производителей оборудования, ограничить возможность локальной установки ПО (запрет установки неподписанных драйверов), сократить число локальных администраторов и применять принцип least-privilege. Во временном режиме – отключить/удалить подозрительные или неиспользуемые драйверы/службы, включить защитные механизмы Windows (VBS / Credential Guard), если совместимы с окружением.
Рисунок 4 – Уязвимость среднего уровня
4) Низкий – уязвимости в OpenJDK (Open/DK-2022-01-18) (Рисунок 5).
Влияние: найденные уязвимости низкой степени риска не дают немедленного RCE в большинстве стандартных конфигураций, но могут позволить обход некоторых ограничений, раскрытие информации или усилить эффект других уязвимостей при наличии подходящих условий. Для серверных и критичных приложений рекомендуется обновление.
Для устранения уязвимости рекомендуется обновить все инсталляции OpenJDK до версий, выпущенных после уведомления, а также применять политики управления версиями SBOM для отслеживания используемых JVM-библиотек. Во временном режиме можно ограничить сетевой доступ к JVM-сервисам (firewall, прокси), изолировать приложения в контейнерах/на VLAN и включить контроль запуска (AppLocker/WDAC) для запрещения исполнения неподписанных JAR.
Рисунок 5 – Уязвимость низкого уровня
Вывод: система содержит критические и высокоопасные уязвимости, а также средние и низкие по уровню угрозы. Обновление OpenJDK (Open/DK-2022-01-18) относится к низкой категории риска, однако для серверов и публичных приложений рекомендуется обновление без промедления. В целом необходимо немедленно устранить критические/высокие проблемы и затем поэтапно закрыть средние и низкие — после чего выполнить повторный аудит для подтверждения исправлений.
2 ИССЛЕДОВАНИЕ СЕТЕВЫХ ИНДИКАТОРОВ
В ходе анализа был проведён аудит шлюза 192.168.0.1 с использованием команды nmap -sV.
Рисунок 6 – Вывод команды ipconfig
Рисунок 7 – Вывод команды ping
Рисунок 8 – Вывод команды nmap
Сканирование шлюза 192.168.0.1 показало наличие открытых TCP-портов (53, 80, 81, 139, 445, 49152) и фильтруемого Telnet (порт 23). Анализ MAC-адреса показал, что устройство принадлежит производителю Eltex (операторский маршрутизатор).
На устройстве работают следующие сервисы:
DNS: dnsmasq 2.45 (порт 53)
Web-интерфейсы администрирования: lighttpd (порт 80), Boa HTTPd 0.93.15 (порт 81)
Файловые службы: Samba (порты 139, 445)
UPnP: MiniUPnP (порт 49152)
Среди обнаруженных сервисов присутствуют потенциально уязвимые:
dnsmasq 2.45 (старый релиз, имеет CVE на DoS и удалённое выполнение кода);
Boa HTTPd 0.93.15 (устаревший веб-сервер, для него опубликованы критические уязвимости);
Samba 3.X–4.X (опасно при включённом SMBv1 и слабых настройках);
MiniUPnP (часто используется для несанкционированного проброса портов и атак из внешней сети).
Вывод: текущая конфигурация имеет низкий уровень защищённости и требует немедленного обновления прошивки и закрытия лишних сервисов.
3 АНАЛИЗ СЕТЕВЕГО ТРАФИКА
В ходе выполнения задания была проведена проверка сетевого трафика с помощью программы Wireshark (Рисунок 9). При запуске захвата пакетов и применении различных фильтров были получены следующие результаты:
Рисунок 9 – Результат проверки сетевого трафика
При применении фильтра icmpv6 в трафике были обнаружены пакеты типа Neighbor Solicitation (Рисунок 10). Эти пакеты относятся к протоколу NDP (Neighbor Discovery Protocol) и служат для установления соответствия IPv6-адресов и MAC-адресов узлов в локальной сети. Таким образом, подтверждается работа механизма обнаружения соседей, аналогичного ARP в IPv4.
Рисунок 10 – Фильтр icmpv6
При использовании фильтра tcp были зафиксированы соединения по нескольким портам, что соответствует установленным в браузере подключениям к веб-ресурсам (Рисунок 11). В пакетах присутствуют стандартные TCP-заголовки (SYN, ACK, FIN), указывающие на начало, подтверждение и завершение сессий.
Рисунок 11 – Фильтр tcp
При применении фильтра http были зафиксированы HTTP-запросы и ответы от удалённых серверов (Рисунок 12). Это свидетельствует о том, что в момент захвата происходил активный обмен данными с веб-ресурсами. В пакетах содержатся стандартные заголовки HTTP-запросов (методы GET/POST, URL, служебная информация).
Рисунок 12 – Фильтр http
Таким образом, захват подтверждает корректную работу сетевых протоколов: ICMPv6 (для проверки связи и диагностики), TCP (как транспортный уровень) и HTTP (как прикладной протокол при обращении к веб-ресурсам).
