Jednym z elementów audytu cyberbezpiecznego samorządu jest test penetracyjny w urzędzie – realne zagrożenia wykryte w ramach programu Cyberbezpieczny Samorząd
Wstęp
W ramach programu
Cyberbezpieczny Samorząd zrealizowałem autoryzowany test penetracyjny infrastruktury IT jednego z urzędów. Celem testu było sprawdzenie rzeczywistej odporności systemów na ataki, a także identyfikacja błędów konfiguracyjnych, które mogą prowadzić do poważnych incydentów bezpieczeństwa.
Ponieważ administracja publiczna coraz częściej staje się celem cyberataków, regularne testy penetracyjne stanowią jeden z kluczowych elementów budowania dojrzałego systemu ochrony informacji.
Zakres i metodologia testu
Test penetracyjny objął analizę usług dostępnych w sieci urzędu, dlatego działania rozpocząłem od identyfikacji hostów i uruchomionych na nich aplikacji. Następnie skupiłem się na wykrywaniu błędów konfiguracyjnych oraz słabych mechanizmów uwierzytelniania.
Podczas testu zastosowałem podejście
black-box z elementami grey-box, ponieważ taki scenariusz najlepiej odzwierciedla realne działania potencjalnego atakującego. Jednocześnie wszystkie czynności realizowałem w pełni zgodnie z zakresem i zgodami wynikającymi z programu Cyberbezpieczny Samorząd.
Identyfikacja usługi Tomcat i panelu zarządzającego
W trakcie analizy infrastruktury wykryłem host, na którym działała usługa
Apache Tomcat. Jednocześnie jeden z dostępnych endpointów prowadził do panelu administracyjnego aplikacji służącej do centralnego zarządzania stacjami roboczymi oraz serwerami w domenie.
Panel umożliwiał wykonywanie poleceń na komputerach wchodzących w skład środowiska domenowego. Co istotne, aplikacja korzystała z
domyślnych poświadczeń, a administratorzy nie zastosowali dodatkowych mechanizmów zabezpieczających, takich jak ograniczenia adresów IP czy uwierzytelnianie wieloskładnikowe.
Analiza ryzyka i konsekwencje błędnej konfiguracji
Dostęp do panelu zarządzającego stworzył możliwość wykonywania poleceń na stacjach roboczych użytkowników. Chociaż w aplikacji nie dodano serwerów, sama funkcjonalność narzędzia znacząco zwiększała poziom ryzyka.
Analizując aktywność systemu, zauważyłem, że polecenia wykonywali również użytkownicy posiadający wysokie uprawnienia domenowe. W rezultacie błędna konfiguracja jednego komponentu otworzyła drogę do dalszej eskalacji uprawnień w całym środowisku Active Directory.
Eskalacja uprawnień w domenie
W kolejnym etapie testu sprawdziłem możliwość wykorzystania uzyskanych uprawnień do dalszego poruszania się po domenie. Ponieważ konta użytkowników nie posiadały lokalnych uprawnień administracyjnych, konieczne było obejście ograniczeń wynikających z mechanizmów kontroli konta użytkownika (UAC).
W tym celu wykorzystałem mechanizmy zdalnego wykonywania poleceń w ramach istniejącej sesji domenowej. Dzięki temu potwierdziłem możliwość wykonania operacji z uprawnieniami
Administratora Domeny, co w rzeczywistym scenariuszu ataku oznaczałoby pełną kompromitację środowiska.
Wnioski z testu penetracyjnego
Przeprowadzony test penetracyjny jasno pokazuje, że pojedynczy błąd konfiguracyjny może prowadzić do bardzo poważnych konsekwencji. Szczególnie niebezpieczne okazują się systemy zarządzające, ponieważ administratorzy często nadają im szerokie uprawnienia i traktują je jako elementy zaufane.
Dlatego urzędy powinny regularnie weryfikować:
- konfigurację aplikacji administracyjnych,
- stosowanie zasady minimalnych uprawnień,
- sposób zarządzania kontami uprzywilejowanymi,
- skuteczność monitoringu i rejestrowania zdarzeń.
Podsumowanie
Program
Cyberbezpieczny Samorząd daje jednostkom administracji publicznej realne narzędzia do podnoszenia poziomu bezpieczeństwa. Jednak tylko praktyczne testy penetracyjne pozwalają sprawdzić, jak zabezpieczenia działają w rzeczywistych warunkach.
Ten przypadek pokazuje, że regularne audyty oraz szybkie reagowanie na ich wyniki znacząco ograniczają ryzyko poważnych incydentów i wzmacniają odporność całej infrastruktury IT urzędu.
👉 Jeśli chcesz sprawdzić, jak wygląda sytuacja w Twojej firmie –
skontaktuj się z nami i umów audyt cyberbezpieczeństwa.
Koszt audytu w zależności od „wielkości” firmy wynosi od 5000 – 30 000zł
Specjalnie dla czytelników tego artykułu przygotowaliśmy dodatkowy rabat.
Skorzystaj z formularza i zacznij pisać od słowa:
CYBER2026. Dostaniesz specjalną cenę.
Zapraszamy
