CVE-2024-3263: Tím spoločnosti Remediata oznámil Národnému Centru Kybernetickej Bezpečnosti (SK-CERT) prítomnosť kritickej zraniteľnosti v aplikácii YMS VIS Pro 3.3.0.6, ktorú aktívne využíva Štátna veterinárna a potravinová správa (ŠVPS SR).
Zraniteľnosť dlhodobo ohrozovala veľké množstvo citlivých informácií. Naša spoločnosť Remediata zistila, že YMS VIS Pro verzie 3.3.0.6 používa na autentifikáciu užívateľov ľahko predikovateľné prihlasovacie údaje, ktoré pozostávali zo 4 až 6 číselných znakov. Rovnaká kombinácia číselných znakov bola použitá pre užívateľské meno aj heslo.
Aplikácia Štátnej veterinárnej a potravinovej správy YMS VIS Pro
Aplikácia YMS VIS Pro slúži Štátnej veterinárnej a potravinovej správe (ŠVPS SR) a veterinárom na správu a monitorovanie fariem, monitorovanie zdravotného stavu zvierat, stavu liekov, na plánovanie a hodnotenie hygienických kontrol a na prácu s faktúrami za veterinárne úkony.
Kritická zraniteľnosť aplikácie
Spoločnosť Remediata zistila, že YMS VIS Pro verzie 3.3.0.6 používa na autentifikáciu užívateľov ľahko predikovateľné prihlasovacie údaje, ktoré pozostávali zo 4 až 6 číselných znakov. Rovnaká kombinácia číselných znakov bola použitá pre užívateľské meno aj heslo. Vzhľadom na tieto zistenia, bolo potvrdené, že je prihlasovací mechanizmus zraniteľný na triviálne formy brute force útokov (CVE-2024-3263).
Overením tohto zistenia sa podarilo získať prihlasovacie údaje viac ako 2000 aktívnych užívateľov.
Taktiež bolo zistené, že kombinácia číselných znakov je v skutočnosti identifikátor licencie súkromných veterinárnych lekárov (SVL). Čísla licencií SVL je možné získať na verejných portáloch ako aj verejne prístupných dokumentoch Štátnej veterinárnej a potravinovej správy (ŠVPS SR). Takýto vzťah medzi identifikátormi a prihlasovaním do aplikácie výrazne zjednodušuje pokusy o získanie neautorizovaného prístupu.
Možné dôsledky zraniteľnosti aplikácie
Po úspešnom zneužití tejto zraniteľnosti reálnym útočníkom bolo možné získať prístup k citlivým informáciám a prípadne vykonať nasledujúce:
- spravovať jednotlivé farmy a stavy hospodárskych zvierat,
- spravovať stav liekov,
- spravovať výsledky hygienických analýz pre subjekty s ktorými ŠVPS SR pracuje (od lokálnych fariem po známe obchodné reťazce),
- spravovať vírusové ochorenia zvierat a ich geografické rozloženie na území SR,
- spravovať faktúry za veterinárne úkony,
- pristupovať k osobným údajom viac ako 166 tisíc subjektov (hospodárov, farmárov, veterinárov a ďalších), akými sú mená, adresy, telefónne čísla, IBAN, IČO a ďalšie.
Mitigácia kritickej zraniteľnosti aplikácie
Štátna veterinárna a potravinová správa (ŠVPS SR) v spolupráci s dodávateľom úspešne implementovala technické opatrenia ktoré spočívali v zmene hesiel pre aktívnych užívateľov a ďalších úpravách autentifikačného mechanizmu.
Časový sled udalostí
- 2024–02–25 – Oboznámenie Národného Centra Kybernetickej Bezpečnosti (SK-CERT) o prítomnosti zraniteľnosti
- 2024–02–26 – Oboznámenie dodávateľa a prevádzkovateľa SK–CERTom o prítomnosti zraniteľnosti
- 2024–02–27 – Potvrdenie zraniteľnosti prevádzkovateľom
- 2024–04–17 – Potvrdenie nasadenia nápravných opatrení prevádzkovateľom
Podporujeme kybernetickú bezpečnosť štátnych aplikácií
Remediata oznámila prítomnosť zraniteľnosti ktorá priamo ohrozovala veterinárny informačný systém – YMS VIS Pro. Dodávateľ spolu s prevádzkovateľom zraniteľnosť v krátkej dobe po oznámení úspešne odstránil.
V spoločnosti Remediata máme dvojaké poslanie: pomáhať klientom prostredníctvom našich služieb a prispievať k bezpečnejšiemu kybernetickému priestoru neziskovými výskumnými iniciatívami. Uvedomujeme si mimoriadny význam kybernetickej bezpečnosti a veríme, že výsledky našej práce sú toho dôkazom.
Na záver chceme poďakovať Štátnej veterinárnej a potravinovej správe Slovenskej republiky (ŠVPS SR) za rýchle a rozhodné kroky pri riešení zistených problémov. Ďalej vyjadrujeme vďaku SK-CERTu za ich neoceniteľnú úlohu pri komunikácii medzi spoločnosťou Remediata a ŠVPS SR. Teší nás, že sa nám podarilo urobiť kybernetický priestor štátnej správy zase o niečo bezpečnejší.