quinta-feira, 26 de julho de 2018

INVASÃO E MANIPULAÇÃO EM DISTRIBUIDORAS E SEUS SISTEMAS DE GERENCIAMENTO

E ae galera, dessa vez vou demonstrar como pode ocorrer uma invasão a empresas de distribuição e manipular seus endereços de entrega através dos seus sistemas de gerenciamento.

WMS (Sistema de gerenciamento de armazém)
Pra quem não sabe, o sistema WMS é utilizado em todo os processos do Armazém: Recebimento, Armazenamento e Expedição.

Portanto, o WMS é um sistema desenvolvido para administrar os fluxos físicos de recebimento, armazenagem, separação e expedição de mercadorias, definindo suas localizações dentro dos depósitos e possibilitando a automação de suas operações através de código de barras, rádio frequência, separação automática de pedidos, etc.
Leia mais em: improtecsistemas.com.br/wms/
Deve-se entender que cada empresa que vende esses softwares, não utilizam os mesmos seguimentos que outras. Portanto, a empresa X não vendem esses softwares iguais a empresa Y. Mas no final, tudo é a mesma coisa.

Essa área de logística é bastante interessante para um pentest, por conta de vários sistemas que possuem.  Pode-se encontrar sistemas WMS com conexões externas, isso ocorre porque algumas empresas querem atualizar o sistema sem precisar ir pessoalmente.

Seguindo nesse raciocínio, podem existir duas vulnerabilidades nesse caso:
  1. Em caso de invasão ao servidor que faz o update das empresas que vendem WMS, o invasor pode modificar o software do WMS por um programa malicioso,  como ocorreu com o CCleaner.
    https://olhardigital.com.br/fique_seguro/noticia/software-ccleaner-e-comprometido-por-hackers/71101
  2. Comprometimento da infraestrutura de TI da distribuidora: nesse caso, o atacante manipula a rede da distribuidora e consegue mudar a origem da atualização do WMS (no caso, o download do update).
Em meus testes com softwares demos, a maioria salvava os seus clientes em um banco de dados na pasta raiz onde foi instalado o WMS.


Percebemos então que em muitos casos, não é necessário  engenharia reversa, podemos fazer a manipulação dos produtos via editor de texto.

Vale lembrar que muitos WMS são pagos, então como explorar e procurar vulnerabilidades? Simples, muitas empresas disponibilizam a demo do software, é só entrar em contato.

A area de logística é imensa, aqui estão alguns links para estudo:

SISTEMAS COMPUTACIONAIS PARA O GERENCIAMENTO ESTRATÉGICO DA LOGÍSTICA
5 sistemas de gerenciamento de logística que você precisa conhecer  

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)