Логика Молока
Company: Логика МолокаЛогика Молока (далее по тексту - Компания) – Компания №1 по производству свежих молочных продуктов. Наши бренды: Простоквашино, АктиБио, Актимуно, Планто и другие.
Rewards are paid to individual entrepreneurs and self-employed persons
Only citizens of the following countries can participate: Russia
Program description
Сможете ли вы протестировать уровень защищенности компании Логика Молока и реализовать недопустимое событие?
14,9 млн рублей за реализацию трех недопустимых событий
Реализуйте недопустимое событие, подменив контент на ресурсах компании! Внимательно читайте условия.
Победителем программы считается участник, который принял правила, первым успешно реализовал недопустимое событие.
Призером программы считается участник, который принял правила, успешно достиг одного из возможных этапов реализации недопустимого события и представил соответствующий требованиям отчет, содержащий полную информацию о цепочке атаки.
Победителем программы считается участник, который принял правила, первым успешно реализовал недопустимое событие.
Призером программы считается участник, который принял правила, успешно достиг одного из возможных этапов реализации недопустимого события и представил соответствующий требованиям отчет, содержащий полную информацию о цепочке атаки.
Недопустимое событие — явление, возникающее в результате действий исследователей и делающее невозможным достижение операционных и стратегических целей и(или) приводящее к длительному нарушению основной деятельности компании, либо наносящее риски (в том числе репутационные) компании.
Описание недопустимых событий
| Недопустимое событие | Детальное описание | Критерий достижения НС |
|---|---|---|
| НС №1 – нарушение целостности / доступности бэкапов | Получение нелегитимного доступа к инфраструктуре и сервисам резервного копирования (AnyBackup / VM backup / NFS backup / S3), позволяющего выполнить вредоносные действия, которые могут привести к нарушению целостности / доступности бэкапов | Демонстрация получения прав администратора или возможности обхода аутентификации системы бекапирования для получения аналогичных прав. Роль должна иметь возможность модификации бэкап политики и права на модификацию бекапов. Примечание: Модифицировать или удалять бэкапы запрещено. Демонстрация работоспособных PoC на аналогичной инфраструктуре бэкапов / их окружения или в системе бэкапирования, приводящее к нарушению целостности / доступности бэкапов или останавливающей план бэкапов. Примечание: В случае наличия таких уязвимостей, необходимо согласовать проверку или саму необходимость их применения. |
| НС №2 – нарушение целостности / доступности критических систем | Получение нелегитимного доступа к инфраструктуре / базам данным и самим критическим приложениям, позволяющего выполнить вредоносные действия, которые могут привести к нарушению целостности / доступности самих систем. Перечень критических систем приведен ниже. - Jume (Deployment planning) - SAP ERP - ConsID - Tekdan - LinkServer - Readsoft - 1С ЗУП - RPA Prima - Axelot - LITUM (DUNA) | Демонстрация получения прав администратора в критических системах с возможностью модификации систем или обрабатываемых этими системами данных. Примечание: Модифицировать или удалять данные в критических системах запрещено. Демонстрация уязвимостей в критических системах, приводящие к нарушению целостности и доступности обрабатываемых в этих системах данных. Примечание: В случае наличия таких уязвимостей, необходимо согласовать проверку или саму необходимость их применения. |
| НС №3 – Кража денежных средств со счета компании | Получение доступа к ERP системе или банк-клиенту, выполнение перевода денежных средств Заказчика | Исследователь должен продемонстрировать получение доступа к ERP системе или банк-клиенту от имени уполномоченного лица и осуществить перевод до 2499 рублей на любой подконтрольный счет исследователя. |
Исследователю необходимо разобраться в том, как работают бизнес-процессы Компании, в которых участвуют эти целевые системы, и осуществить НС, описанные в приведенной выше таблице.
Что бы реализовать недопустимое событие, исследователю нужно предоставить:
- пошаговый PoC: запросы/ответы, команды, параметры, скриншоты/логи с таймстемпами (без раскрытия чувствительных данных);
- перечень затронутых систем, учетных записей и уровней доступа (роль/права);
- доказательства достаточности прав согласно критериям НС;
- оценку потенциального воздействия, если бы атака была выполнена в полном объеме (без выполнения действий);
- рекомендации по устранению.
Внимание!
Выполнение потенциально опасных действий запрещено. Перед началом тестирования внимательно ознакомьтесь с описанием недопустимых событий и примечаниями к ним.
Выполнение потенциально опасных действий запрещено. Перед началом тестирования внимательно ознакомьтесь с описанием недопустимых событий и примечаниями к ним.
Вознаграждение за реализацию недопустимого события
В рамках программы участник, который первым реализовал недопустимое событие и представил о нем отчет, получает 4.96 млн рублей за каждый из реализованных видов НС.
В программе в каждом виде НС может быть один победитель. Вознаграждение выплачивается в рублях. При изменении способа получения вознаграждения все комиссии и затраты возлагаются на победителя.
В программе в каждом виде НС может быть один победитель. Вознаграждение выплачивается в рублях. При изменении способа получения вознаграждения все комиссии и затраты возлагаются на победителя.
В рамках программы Компания не выплачивает вознаграждение:
- за отчеты о любых уязвимостях;
- отчеты о недостатках конфигурации;
- любые другие отчеты, которые не содержат информации о реализации недопустимого события.
Скоуп
В скоуп входят ресурсы, принадлежащие Компании. Исследователям предлагается подойти к выполнению задания творчески и использовать методы OSINT для обнаружения ресурсов принадлежащих компании. При согласовании ресурсов вне предварительного скоупа необходимо обращаться к команде безопасности через платформу Standoff Bug Bounty
Запрещено атаковать клиентов и партнеров Компании, в том числе с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок. Разрешена рассылка фишинговых писем на электронную почту сотрудников Компании.
Перечень внешних веб-сервисов, который входит в технический периметр Bug bounty, но не ограничиваясь:
Запрещено атаковать клиентов и партнеров Компании, в том числе с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок. Разрешена рассылка фишинговых писем на электронную почту сотрудников Компании.
Перечень внешних веб-сервисов, который входит в технический периметр Bug bounty, но не ограничиваясь:
- 89.175.183.160/27
- 82.204.183.64/27
- 89.175.178.88/29
- 82.204.181.176/29
- 82.204.181.184/29
- 195.210.181.64/26
- 195.210.181.88/29
- 195.151.25.240/29
- 195.151.38.48/29
- 195.151.25.248/29
- 94.72.7.214
- 85.140.62.227
- 77.66.203.180
- 109.174.103.186
- 176.52.11.76
- 95.139.40.179
- 178.72.122.238
- 178.155.105.0
- 81.23.173.33
- 178.72.74.102
- 78.108.71.41
- 84.17.228.128
- 176.52.11.76
- 82.204.196.130
- 213.219.215.193
- 95.163.212.213
- 213.219.215.76
- 89.208.86.232
- 37.139.40.112
- 89.208.231.145
- 51.250.103.125
- 158.160.64.75
- 158.160.65.185
- 84.201.160.229
- 158.160.24.128
- 45.134.62.135
- 45.134.62.11
- ns2.mcs.mail.ru
Требования к участникам
Участвовать в программе могут все заинтересованные исследователи в возрасте от 18 лет, имеющие гражданство РФ
В программе не могут участвовать:
- Действующие сотрудники группы Компаний.
- Действующие сотрудники контрагентов группы Компаний, которым предоставляется доступ к инфраструктуре группы Компаний для выполнения служебных обязанностей.
- Физлица, которые оказывали группе Компаний консультационные услуги, связанные с информационной безопасностью или информационными технологиями, то есть лица, получавшие сведения об устройстве части инфраструктуры компании по служебной необходимости за последние три года.
Исследователям необходимо:
- Соблюдать правила раскрытия отчетов, которые устанавливает Компания в своей программе, а также правила платформы Standoff Bug Bounty.
- Соблюдать правила конфиденциальности информации. Запрещено распространять любую информацию, случайным образом полученную в ходе исследования инфраструктуры или попыток реализации недопустимого события.
- Не разглашать информацию о ходе исследований без согласования с компанией. При возникновении вопросов рекомендуется обращаться к команде безопасности через платформу Standoff Bug Bounty.
- Поддерживать общение с командой безопасности, направлять ей отчеты о попытках реализации недопустимых событий, оформленные согласно описанным в программе требованиям, и давать обратную связь, если у специалистов возникнут вопросы об отчете.
Примечание. Необходимость в сдаче отчета возникает при проникновении за периметр сети. Направлять отчет можно после того, как вас «выбьют» из инфраструктуры.
Обязанности Компании
Компания обязуется:
- Относиться к исследователям с полной серьезностью и «выбивать» их из инфраструктуры как можно раньше.
- Не выдвигать исследователям необоснованные обвинения, связанные с участием в программе.
- Уважать исследователей. При соблюдении исследователями требований и правил программы Компании отказывается от любых претензий в их сторону.
Публичное раскрытие информации об исследованиях
Публичное раскрытие информации по умолчанию запрещено.
Запрещенные действия
Исследователям запрещено:
- Устраиваться на работу в Компания для получения легитимного доступа к системам Компания и реализации недопустимых событий.
- Подкупать действующих сотрудников компании или осуществлять с ними сговор.
- Пользоваться иной добровольной помощью действующих сотрудников компании (прикрытие действий исследователя, облегчение доступа или реализации недопустимого события, добровольное предоставление оборудования, принадлежащего компании).
- Использовать любые способы воздействия на работников компании, которые несут угрозу здоровью или жизни, похищать сотрудников или членов их семей. Кроме того, запрещено похищать любые устройства, гаджеты и иную собственность сотрудников и компании.
- Физически портить имущество компании или применять к нему грубую силу, чтобы облегчить реализацию недопустимых событий. Проводить физические атаки на персонал, дата-центры и офисы компании.
- Подкупать, иным образом воздействовать на поставщиков услуг или контрагентов компании, вступать с ними в сговор.
- Использовать любые ошибки, проблемы безопасности или уязвимости в личных целях.
- Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов.
- Проводить атаки, либо совершать любые действия, наносящие вред целостности и доступности сервисов (например, DoS-атаки), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов.
- Удалять любую информацию, принадлежащую компании, если это не нужно для сокрытия своих следов пребывания в инфраструктуре (удалять записи о собственных действиях в журналах безопасности и собственные артефакты можно).
- Атаковать клиентов и партнеров группы Компаний, в том числе с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок.
Требования к оформлению отчета
Отчет о недопустимом событии должен содержать:
- Доказательства того, что вход в инфраструктуру осуществлен через сетевой периметр Компании.
- Детальную информацию о ходе исследования (техническое описание), включающую метод проникновения в инфраструктуру, время выполнения каждого из шагов, все затронутые системы, скомпрометированных пользователей, детальный ход реализации недопустимого события, методы сокрытия пребывания в инфраструктуре и информацию об артефактах, использованных для закрепления в инфраструктуре.
- Информацию об использованных эксплойтах или листинг эксплойта.
- Эффективные рекомендации по устранению недостатков, ориентированные на доработку текущих процессов компании и настроек текущих технологий ИТ и ИБ;
Примечание. Если в отчете обнаружены спорные моменты, пробелы в описании и неточности, комиссия имеет право запрашивать у исследователя разъяснения и дополнительную информацию. При игнорировании исследователем уточняющих запросов отчет может быть отклонен.
В техническом описании необходимо построчно по шагам расписать цепочку реализации недопустимого события (или цепочку до конечного шага, на котором вас «выбили» из инфраструктуры). Например, цепочка может состоять из следующих шагов:
21.02.2022 20:22 Сканирование портов на узле xxx.xx.xxx.xx (обнаружен порт 3389).
21.02.2022 20:24 Брутфорс RDP (учетка user:qwerty).
21.02.2022 20:55 Повышение привилегий с использованием уязвимости. Закрепление на узле (создание учетной записи SUPERUSER с правами администратора).
yyy.yyy.yyy.yyy, уязвимый для BlueKeep).
21.02.2022 22:22 Дальнейшее продвижение по сети (RCE через BlueKeep).
21.02.2022 20:24 Брутфорс RDP (учетка user:qwerty).
21.02.2022 20:55 Повышение привилегий с использованием уязвимости. Закрепление на узле (создание учетной записи SUPERUSER с правами администратора).
yyy.yyy.yyy.yyy, уязвимый для BlueKeep).
21.02.2022 22:22 Дальнейшее продвижение по сети (RCE через BlueKeep).
<…>
## Файлы, загруженные на атакуемый узел Если при выполнении шага вы загрузили на атакуемый узел ПО или файлы, которые использовались для атаки, это необходимо указать в отчете. Примеры: * cmd911.jsp — веб-шелл, загруженный в каталог /test/test/. * reGeorg — ПО для построения туннеля в каталог /test/test/. * pypykatz.py — ПО для извлечения учетных данных из памяти ОС в каталог /test/test/. Видео и скриншоты могут быть приложены к отчету, но не могут его заменить.