Шесть смертельных ошибок — мелкие уязвимости и крупные взломы

Иногда именно неизвестные или просмотренные мелкие недочеты становятся причинами того, что организации оказываются открытыми нараспашку для атак: недостающий слеш в конфигурации сервера, давно забытый пользовательский аккаунт или встроенный веб-сервер в офисном принтере.

Учитывая сжатые сроки, все повышающуюся хитроумность зловредов и страх стать следующей жертвой крупной утечки, не удивительно, что организации могут не заметить потенциальные проблемы, связанные с менее важными устройствами, или совершить незначительные на первый взгляд ошибки в конфигурации.

Но даже если так, незнание не является оправданием когда злодеи уже готовы использовать малозаметную уязвимость вроде нескольких старых компьютеров, которые не обновили последними патчами. Одного слабого звена в цепи достаточно, чтобы атакующие укрепились в организации и выкрали ценные данные, или развернули систему долгосрочного кибершпионажа.

Уже испугался? Взгляни на несколько неявных, но потенциально опасных ошибок, которые совершают предприятия, и которые в будущем могут дорого им обойтись.

1. Неправильная настройка SSL сервера.

У SSL в последнее время плохая репутация из-за присущих ему слабостей в плане безопасности. Но многие SSL серверы неверно настроены, так что они даже не используют выгоды от зашифрованных сессий. Лишь около 20% SSL сайтов перенаправляют на SSL серверы для аутентификации, а около 70% обращаются с учетными данными в виде простого текста. Более половины из них передают пароли в текстовом виде.

Такие данные выявило глобальное исследование SSL, проведенное SSL Labs, проектом сообщества Qualys. Но это еще не все: теперь хакеры могут совершать DoS атаки на SSL без помощи ботнетов. Новый инструмент, появившийся совсем недавно, злоупотребляет функцией переустановки связи в SSL, что позволяет атаковать сервер с одного единственного ноутбука или машины.

Организации, которые ошибочно оставляют функцию включенной, подвергают себя риску атаки с помощью набирающего обороты инструмента THC-SSL-DOS. Эксперты в области безопасности считают, что в функции переустановки на веб-сервере нет необходимости, и советуют вообще отключать ее.

Но на данный момент все еще нет решения, чтобы защититься от атаки, сказал Тайлер Регали, руководитель исследований и разработок в области безопасности в компании nCircle. «Так работает протокол», — добавил он.

DoS атака – еще одно доказательство того, что SSL неустойчив. «Нам нужно что-то получше», — отметил он.

2. Упущенный из виду редко используемый аккаунт с большими привилегиями.

Многие организации не защищают административный пароль, используя логины и пароли по умолчанию, что, в конечном счете, может дать атакующим ключи от королевства. Но есть и другие, менее значимые и реже используемые пароли, про которые легко можно забыть и оставить открытыми для злоупотреблений.

Фирму по предоставлению финансовых услуг из списка Fortune 500, которая считалась хорошо защищенной и оберегала свой административный пароль, недавно взломали через давно забытый пользовательский пароль на старой системе Siemens Rolm PBX. Этот относительно сильный пароль – все, что понадобилось фирме Trustwave SpiderLabs, проводившей пенетрейшн тест, чтобы проникнуть в укрепленную сеть. Они использовали аккаунт, чтобы создать клон ящика голосовой почты службы поддержки и, дождавшись звонка, методом социальной инженерии, вызнали у звонящего учетные данные пользователя. Хэвелт, прикинувшись инженером службы поддержки, легко получил имя пользователя виртуальной частной сети и пароль двухфакторной аутентификации, когда настроил соединение с виртуальной частной сетью. Это дало доступ к кадровой и финансовой службам фирмы, системе управления активами и другой чувствительной информации.

«Это разрослось, как снежный ком», — сказал Роб Хэвелт, главный по тестам на проникновение в Trustwave SpiderLabs, которые проводили пенетрейшн тест для одного из клиентов. «Все всегда начинается с малого. Всегда одно и то же. Люди оставляют аккаунт по умолчанию, пароль по умолчанию. Это может показаться не таким уж важным, но потом ситуация усложняется. Если дать кому-нибудь хоть какой-нибудь уровень доступа, они найдут дыру».

Хэвелт заявил, что организациям нужно проводить проверку всего оборудования, даже устаревших систем вроде PBX .

«Убедитесь, что у вас выполняется политика относительно паролей», — сказал он. «В случае фирмы по предоставлению финансовых услуг, системы PBX принадлежали группе телекоммуникаций, нежели ИТ, и у них в плане безопасности была рассинхронизация. В идеале всегда должен быть кто-то, кто несет ответственность за все, что можно подключить к сети».

3. Уверенность в защищенности трафика виртуальной частной сети.

Если пользователь подключается к корпоративной виртуальной частной сети из сети отеля, это еще не означает удаленную защищенность. «Это довольно серьезная ошибка — полагать, что удаленный вход сотрудника через VPN это защищенный трафик», — сказала Нимми Райкнберг, вице-президент по маркетингу и развитию бизнеса в AlgoSec.

«Работая из сети отеля можно много чего подхватить, включая то, что не сможет распознать антивирус в конечной точке. Если у сотрудников есть возможность туннелирования, то зловред, находящийся на ПК, при попадании в корпоративную сеть ничего хорошего не предвещает», — описал он ситуацию. «Когда типичный пользователь удаленно подключается к VPN, есть вероятность, что у него нет надлежащего контроля за безопасностью».

Так что хотя в теории сессии через VPN аутентифицируются и шифруются, уже зараженная машина может представлять большую опасность для корпоративной сети. Если компьютер пользователя инфицирован, значит ботнет может получить доступ к внутренней сети, сказал Райкенберг.

Решение заключается в остановке даже VPN-трафика на уровне DMZ для проверки. «Большинство компаний этого не делают», — объяснил он. «Они проверяют лишь трафик из ненадежных внешних источников, а тот трафик, который уже находится в виртуальной сети, не воспринимают как потенциально опасный».

«Многие верят, что трафик в VPN защищен. Мы утверждаем, что это не так», — добавил Райкенберг.

4. Неведение о встроенных системах.

Копиры, сканеры, VoIP-телефоны имеют встроенные веб-серверы, которые, как правило, не защищены или неверно настроены. «Практически ни одному из этих устройств не нужно подключение к интернету. Нет ни какой причины, по которой бы следовало подключить сканер HP к сети», — отметил Майкл Саттон, вице-президент исследований в области безопасности в ZScaler Labs, который этим летом поделился своими находками о степени проблемы на конференции Black Hat USA.

Саттон обнаружил, что копиры Ricoh и Sharp, сканеры HP и VoIP-телефоны Snom чаще всего доступны через интернет.

Атакующие могут украсть архивы фотокопий, подслушать разговоры через VoIP с помощью системы захвата пакетов, например. «Если VoIP подключен к интернету, то можно войти, включить его, захватить трафик, скачать PCAP и с помощью Wireshark подслушивать за организацией», — рассказал Саттон.

Ключ кроется в поиске подобных уязвимых устройств пока их не нашли злоумышленники. Саттон создал бесплатный инструмент под названием BREWS, который автоматизирует этот поиск.

Другое сетевое оборудование также часто имеет неправильные настройки, которые подвергают риску ничего не подозревающих клиентов. В прошлом году Эйч Ди Мур обнаружил, что сотни DSL-концентраторов, систем SCADA, VoIP-оборудования и свичей содержат службу диагностики для функции от VxWorks. «Этой функции не должно быть в производственном режиме», — предупредил Мур, глава безопасности Rapid7 и главный создатель Metasploit. «Она позволяет получать доступ к памяти, а также включать и выключать устройство».

Подобная проблема есть и у сегодняшних потребительских устройств, оснащенных GSM и сотовым доступом. Дон Бейли, консультант по безопасности в iSec Partners, сказал, что GPS-устройства, автомобильные сигнализации и даже сенсоры SCADA уязвимы для атак через сеть. Как только атакующий находит одно из таких устройств в сети, у него появляется возможность использовать его. Бейли успешно взломал популярную систему сигнализаций и удаленно завел машину, послав ей текстовое сообщение. Еще более пугающей представляется потенциальная возможность подобного использования сенсора SCADA.

5. Ошибки в исходном коде или файлах конфигурации.

Пропущенный слеш в серверах Apache (и, возможно, в других платформах) может привести хакеров к базам данных, файрволам, маршрутизаторам и другим устройствам внутренней сети. Недавно обнаруженная атака на серверы Apache с обходом reverse-proxy показала, как один единственный символ может повлиять на безопасность.

Майкл Джордон, руководитель исследований и разработок в Context Information Security, который обнаружил проблему, сказал, что это была скорее проблема конфигурации, о которой пользователи не знали: слеш требовался в так называемом «rewrite rule» для прокси на основе Apache. «Это классический случай функциональности, о которой никто не знал, также как никто не знал о наличии неверной конфигурации», — сказал Джордон. Apache выпустил патч для этой проблемы в начале месяца, но, как сказал Джодон, такая же проблема, скорее всего, присуща и другим веб-платформам.

«Патч снижает вероятность неверной настройки», — добавил он. «У любого другого reverse-proxy с изменением URL, вероятно, есть такие же проблемы. Мы связались с другими производителями веб-серверов, чтобы проинформировать их об этом».

6. Небрежное отношение к обновлению менее значимых систем.

Установка патчей – обязательная практика. Но это не значит, что организации выполняют ее должным образом, вовремя или, если дело касается систем, риск для которых недооценивается, вообще выполняют.

Возьмем Министерство Энергетики США, которое на этой неделе критиковали за скверное отношение к установке патчей. Как сказали в их офисе, в 15 разных местах были обнаружены компьютеры, сетевые системы и сетевые устройства министерства, на которых работали приложения с неустановленными на них патчами для известных уязвимостей. Согласно отчету генерального инспектора, около 46% компьютеров имели операционные системы и приложения без самых последних патчей.

Как говорится в отчете, «на этих приложениях не было патчей для известных уязвимостей, которые были доступ еще за 3 месяца до нашего тестирования».

Но федеральное агентство в этом не одиноко: многие организации бьются изо всех сил, чтобы определить уязвимости в своих средах. Недавнее исследование от Secunia дает понять, что организации наблюдали бы значительные улучшения в плане безопасности, если бы они располагали патчи по приоритетам в зависимости от тяжести уязвимости, а не распространенности приложения.

Марк Мейфрет, технический директор и сооснователь eEye Digital Security, сказал, что все сводится к незнанию того, чего именно ты не знаешь. «У компаний нет обзора, поэтому они не могут определить в чем именно заключается слабость их среды. Или они не знают с чего начать и опускают руки», — сказал Мейфрет.

xakep.ru

Категории: Безопасность