Case Study · Reagowanie na incydent - Engave S.A.
Jak przywróciliśmy działanie Wi-Fi w dużym obiekcie hotelowym bez dostępu administracyjnego, zachowując dowody i uszczelniając środowisko po incydencie
Incydent w skrócie
Obiekt
Duży hotel (ok. 200 pokoi + części wspólne) z infrastrukturą 250 punktów dostępowych i ok. 20 przełączników, zarządzanych centralnie przez UniFi
Zgłoszenie
11 lutego, godz. 20:30 - całkowity brak działania Wi-Fi w całym obiekcie
Utrudnienie
Brak haseł administracyjnych do kluczowych elementów infrastruktury - Engave przejmowało obsługę i nie było kontrolowanego przekazania środowiska
Root cause
Celowo wprowadzony konflikt w konfiguracji RADIUS - wywołał zapętlenie wdrażania konfiguracji (provisioning loop) bramy, blokując cały ruch sieciowy
Przywrócenie
12 lutego, godz. 19:00 - pełne przywrócenie działania Internetu i Wi-Fi w całym obiekcie
Kontekst
Kiedy Wi-Fi w dużym obiekcie hotelowym przestaje działać, pierwsze co odczuwają goście to brak Internetu w pokoju. Ale to tylko widoczna warstwa problemu. W nowoczesnym hotelu na tym samym środowisku sieciowym działa system BMS - Building Management System, który zarządza ogrzewaniem, klimatyzacją, wentylacją i optymalnym zużyciem energii. Awaria sieci oznacza utratę kontroli nad temperaturą w pokojach, pracą central wentylacyjnych, warunkami w SPA i basenie.
Recepcja zostaje zalana skargami, których nie może rozwiązać - bo narzędzie jest poza zasięgiem.
To był dokładny scenariusz tej nocy. I do tego z dodatkowym utrudnieniem: Engave przejmowało właśnie obsługę IT obiektu. Poprzedni administrator nie przekazał haseł, dokumentacji ani listy kont. Zaczynaliśmy od zera - w środku aktywnego incydentu.
Największy problem: brak dostępu do wszystkiego
Reset fabryczny byłby najszybszą drogą do odzyskania kontroli nad urządzeniami. Ale był jednocześnie drogą do zniszczenia logów - jedynego dowodu na to, co się wydarzyło i kto to zrobił. Celowo go wykluczyliśmy.
Jedynym pewnym punktem zaczepienia była skrzynka pocztowa. Klient posiadał hasło do hostingu poczty - to wystarczyło. Zmieniliśmy hasło do skrzynki powiązanej z kontem poprzedniego administratora i uruchomiliśmy procedurę odzyskiwania hasła do panelu UniFi. Link resetu trafił na skrzynkę - odzyskaliśmy dostęp do kontrolera.
Dodatkowe utrudnienie techniczne: kontroler UniFi miał połączenie z Internetem tylko przez 1-3 sekundy, po czym połączenie zanikało - klasyczny objaw flapowania interfejsu. Reset hasła przez konsolę chmurową nie zmieniał hasła lokalnie na urządzeniu. Musieliśmy wpasować się w te kilka sekund okna połączenia, żeby zsynchronizować hasła z poziomu konsoli chmurowej i uzyskać dostęp z sieci wewnętrznej.
Udało się.
Co pokazały logi: ślady celowych działań
Po uzyskaniu dostępu do logów UniFi mogliśmy odtworzyć sekwencję zdarzeń. Logi wskazywały, że konto o strukturze 'Imię Nazwisko' wykonywało zdalne modyfikacje w obszarach, które mają bezpośredni wpływ na działanie całej infrastruktury sieciowej.
Trzy kategorie zmian były szczególnie istotne:
RADIUS to mechanizm decydujący o tym, kto i na jakich warunkach może wejść do sieci. Zmiany w tej warstwie mogą tworzyć ukryte ścieżki dostępu trudne do wykrycia w standardowej weryfikacji konfiguracji.
Takie modyfikacje potrafią odciąć urządzenia lub przepiąć segmenty sieci do innej strefy - mieszając na przykład sieć gości z siecią wewnętrzną. W tym przypadku skutkiem ubocznym była utrata dostępu do systemu BMS.
To działanie o jasnym celu: usunąć możliwość szybkiego powrotu do poprzedniej konfiguracji i utrudnić dochodzenie przyczyn. Bez logów i bez backupu incydent jest znacznie trudniejszy do wyjaśnienia i naprawienia.
Największym czynnikiem ryzyka nie była technologia. Była nim procedura - a właściwie jej brak. Jeden administrator z pełnymi uprawnieniami, bez kontrolowanego offboardingu, może zatrzymać usługi krytyczne dla całego obiektu. I może to zrobić tak, żeby powrót był jak najtrudniejszy.
Diagnoza: provisioning loop
Objawem, który pojawił się w panelu UniFi od początku incydentu, był komunikat: 'Gateway configuration changes could not be applied'. Brama internetowa dostawała konfigurację z kontrolera, ale nie była w stanie jej wdrożyć. Alert pojawiał się wielokrotnie w krótkich odstępach - klasyczny sygnał zapętlenia.
Przyczyna była precyzyjnie ukryta. W obszarze konfiguracji RADIUS utworzono dodatkowy element o nazwie 'system' - podczas gdy taki element już istniał. Powstał duplikat wywołujący konflikt. Kontroler rozgłaszał konfigurację, której brama nie mogła poprawnie zastosować - i wpadała w pętlę kolejnych prób, z których żadna się nie kończyła.
Efekt: cały hotel bez Internetu i Wi-Fi przez 22,5 godziny.
Rozwiązanie wymagało precyzji: nie skasowania problematycznego wpisu (usunęłoby to ślad w logach), ale zmiany jego nazwy - z 'system' na 'system1'. Konflikt zniknął. Konfiguracja została poprawnie rozgłoszona. Brama zakończyła pętlę, poprawnie się zainicjalizowała, Wi-Fi wróciło do działania. Równolegle przywrócono pierwotną konfigurację VLAN - odzyskując tym samym dostęp do systemu BMS.
Oś czasu incydentu
Zgłoszenie: całkowity brak działania Wi-Fi w całym obiekcie hotelowym.
Odzyskanie dostępu do kontrolera UniFi przez procedurę resetowania hasła na skrzynce e-mail. Równoległa inwentaryzacja środowiska i poszukiwanie pozostałych dostępów.
Analiza logów. Identyfikacja konfliktu w konfiguracji RADIUS jako root cause. Potwierdzenie śladów celowych modyfikacji konfiguracji przez zewnętrzne konto.
Usunięcie konfliktu (zmiana nazwy duplikatu bez kasowania śladów). Pełne przywrócenie Internetu i Wi-Fi. Przywrócenie konfiguracji VLAN - odzyskanie dostępu do BMS.
Natychmiastowe działania bezpieczeństwa: włączenie backupu, wdrożenie MFA, zablokowanie kont powiązanych z poprzednim administratorem, porządkowanie dostępów chmurowych.
Wyniki
22,5h
całkowity brak Wi-Fi i BMS w dużym obiekcie hotelowym - przywrócone bez utraty logów i dowodów
3 sek.
okno połączenia z Internetem, w które musieliśmy się wpasować, żeby odzyskać dostęp do infrastruktury
0
utraconych dowodów - infrastruktura przywrócona bez resetu fabrycznego, logi zachowane w całości
Hotel odzyskał działające Wi-Fi, działający BMS i pełną kontrolę nad infrastrukturą. Ale ważniejsze od szybkości przywrócenia jest to, co zostało zachowane: logi z pełną sekwencją zdarzeń, jako dokumentacja tego, co się wydarzyło i kto to zrobił.
Po incydencie środowisko zostało natychmiast uszczelnione: backup konfiguracji ponownie włączony, MFA wdrożone jako wymóg dla wszystkich paneli administracyjnych, konta powiązane z poprzednim administratorem zablokowane, dostępy chmurowe uporządkowane. Zamknięto typowy wektor 'ktoś wraca później, bo nadal ma dostęp'.
Lekcja: offboarding to procedura bezpieczeństwa
Ten incydent jest skrajnym przykładem konsekwencji braku kontrolowanego offboardingu. Jeden człowiek z pełnymi uprawnieniami do infrastruktury sieciowej - bez procedury przekazania przy zakończeniu współpracy - może skutecznie unieruchomić obiekt. I może to zrobić tak, żeby powrót był jak najtrudniejszy: wyłączając backup, wyłączając logi, wprowadzając zmiany w miejscach, które nie są widoczne na pierwszy rzut oka.
Rekomendowana lista działań przy rozstaniu z osobą odpowiedzialną za IT:
Kontrolery Wi-Fi, firewalle, przełączniki, panele chmurowe, konta e-mail powiązane z infrastrukturą.
VPN, dostępy do paneli administracyjnych, konta w systemach zarządzania siecią.
Usunięcie nadmiarowych kont, weryfikacja uprawnień pozostałych. MFA dla wszystkich paneli administracyjnych bez wyjątku.
Kopia konfiguracji poza urządzeniem, z potwierdzeniem poprawności. Kto logował się z zewnątrz, kiedy i jakie zmiany wprowadzał - jeszcze przed formalnym zakończeniem współpracy.
Co to oznacza dla Twojego obiektu
Incydenty tego typu nie wymagają zaawansowanego ataku. Wymagają tylko jednej osoby z uprawnieniami, której nikt nie odebrał dostępu. Dlatego procedura offboardingu jest równie ważna jak firewall - bo żaden firewall nie blokuje kogoś, kto ma ważne hasło administratora. Jeśli chcesz wiedzieć, jak wygląda bezpieczeństwo dostępów w Twojej infrastrukturze - zaczynamy od jednej rozmowy.
engave.pl/kontakt
Engave S.A. · engave.pl · Wszelkie prawa zastrzeżone
Cyberbezpieczeństwo, opieka IT, digitalizacja - niezależnie od tematu, chętnie porozmawiamy. Opisz swoją potrzebę, a odpowiedni specjalista odezwie się w ciągu 24h roboczych.
KONTAKT:
biuro@engave.pl
+22 863 13 90
Dyżur techniczny: +48 604 470 151
Ul. Czarodzieja 16, 03-116 Warszawa