Карантин как мера, сдерживающая распространение короновируса, стала причиной масштабного перевода сотрудников многих компаний на дистанционных режим работы, понизив уровень информационной безопасности. Как убедиться в защищенности внешнего сетевого периметра, особенно когда технические специалисты экстренно открывают доступ к корпоративным ресурсам для удаленных сотрудников?

Практика организации удаленного доступа

Для продолжения бесперебойной работы множество компаний вынуждены организовывать удаленный доступ для своих сотрудников и делать это в кратчайшие сроки. То, что раньше было доступно только из корпоративной сети, теперь доступно из любой точки мира. Возьмем наиболее частые решения, предпринимаемые техническими специалистами для подключения сотрудников к рабочей сети:

  • Организация доступа через RDP позволяет напрямую подключаться к терминальному серверу компании. Настройка данного доступа не занимает много времени и в условии повышенной срочности является популярным решением;
  • Организация доступа через VPN-соединение позволяет обеспечить доступ к необходимым внутренним ресурсам компании;
  • Использование SSH предоставляет возможность обеспечить удаленное подключение к серверам для работы через командную оболочу.

Любое решение имеет свои недостатки и может быть использовано атакующими для проведения атаки.

Рассмотрим проблемы, возникающие в период массового и экстренного перевода сотрудников на удаленный режим работы:

  • Предоставление доступа к рабочему месту, используя протокол RDP, часто происходит без организации должной защиты и сопровождается компрометацией удаленного сервера. В середине 2019 года были обнаружены серьезные уязвимости, связанные с протоколом RDP: критическая уязвимость под номером CVE-2019-0708 (BlueKeep), а чуть позже опубликована CVE-2019-1181/1182 (DejaBlue). Разработчик оперативно выпустил исправления данных угроз, но компания должна быть уверена, что все сервера имеют актуальную и обновленную версию операционных систем.
  • Использование VPN позволяет обеспечить безопасность соединения на более высоком уровне, но не делает ее абсолютной. Часто ходит мнение, что использование серверов и рабочих мест, использующих Linux, чуть ли не абсолютно безопасна. Однако данное мнение ошибочно. Так в 2019 году была обнаружена уязвимость CVE-2019-14899 и связана с сетевыми стеками операционных систем на основе Unix. В данной статье описано более подробно, но вкратце — проблема позволяет прослушивать и перехватывать VPN-соединения, а также внедрять произвольные данные в сетевые потоки.
  • Системным администраторам, как и другим сотрудникам, приходится выполнять свои рабочие обязанности удаленно. Для доступа к серверам системные администраторы часто используют протокол SSH. Хотя данный протокол и является одним из самых безопасных, но все же даже в нем находят уязвимости, например, такая как CVE-2018-10933. Она позволяет атакующему обойти аутентификацию и получить доступ к уязвимому серверу со встроенной SSH-аутентификацией, не вводя пароль. Да, она действует для библиотек SSH c определенной версией, но надо быть уверенным, что сервер не использует именно их. Для поддержания должного уровня безопасности необходимо выполнять ряд условий: использовать не стандартный порт для SSH, ограничивать список пользователей с SSH доступом, своевременно обновлять программное обеспечение сервера и множество других более тонких настроек.

(Не)безопасность почтового сервера

Почтовые серверы всегда пользовались повышенным интересом со стороны злоумышленников. Например, в феврале 2020 года в сети активно шло обсуждение обнаруженной проблемы безопасности CVE-2020-0688 на серверах, использующих Microsoft Exchange. Она позволяет злоумышленникам удаленно выполнять произвольный код с привилегиями SYSTEM и компрометировать цель.

Недавно были обнаружены серьезные уязвимости в распространенном почтовом агенте Exim. Одна была обнаружена в начале июня 2019 года, получила идентификатор CVE-2019-10149 и позволяла злоумышленникам запускать команды от имени root. Другая программная ошибка, получившая широкое обсуждение в сентябре 2019 года, получила идентификатор CVE-2019-15846 и при определенных условиях позволяла запустить вредоносный код с привилегиями на выполнение всех без исключения операций. В случае, если в компании вовремя не провели обновления программного обеспечения серверов, использующих Exim, то контроль над ее сервером могут полностью захватить злоумышленники.

Стоит отметить, что подобные недостатки в безопасности обнаруживали и будут обнаруживать постоянно. Тут действует принцип: кто-то строит стену, а кто-то ищет в ней щели. В настоящее время сетевые ресурсы стали менее защищенными по причине появления множества «точек входа».

Раньше, при обычном режиме работы компаний, в случае обнаружения уязвимости в безопасности сетевых ресурсов, системные администраторы могли оперативно ее исправить, проводя комплексные проверки и обновляя программное обеспечения всех устройств внутри сети. Теперь, когда сотрудники работают из дома со своих устройств (персональные компьютеры, ноутбуки, планшеты), временной ресурс сотрудников поддержки тратиться на помощь пользователям и организацию им удаленного доступа. В момент сильного дефицита времени и давления со стороны руководителей о срочности предоставления доступов велика вероятность пропустить критические обновления серверов или допустить ошибки в настройках сервисов. Кроме этого, открывая доступ к сервису из сети Интернет, шанс быть скомпрометированным именно через этот сервис значительно возрастает.

Просты сценарии атаки на инфраструктуру

В данном разделе будут представлены примеры действий злоумышленников, получающих доступ к корпоративным ресурсам. Изображения ниже демонстрируют, как осуществляется процесс несанкционированного доступа:

Информация предоставлена исключительно в ознакомительных целях. Не нарушайте законодательство!

SSH
Успешный подбор не самого популярного пароля по протоколу SSH всего за 9 минут:

RDP
Использование протокола удаленного рабочего стола RDP для подбора пары логин/пароль:

RCE
В следующем примере продемонстрируем последовательность действий, направленных на получение возможности провести удаленное выполнение кода на сервере через уязвимость RCE в веб-приложении. Такая уязвимость входит в список угроз уровня A1 версии OWASP 2017.

Один из установленных плагинов имеет подобную уязвимость и позволяет произвести атаку:

Для эксплуатации уязвимости злоумышленник отправляет специально сформированный вредоносный запрос:

Развернуть

Получение доступа к удаленному управлению сервера через порт 4455 по результатам отправленного запроса, является полноценным удаленным выполнением кода (RCE):

Для демонстрации были использованы самые примитивные примеры. Стоит учитывать, что количество используемых протоколов, служб, приложений, систем и приложений, на которые может быть направлена атака, большое множество. Предотвращение несанкционированного доступа к сетевым ресурсам компании обеспечивается не только за счет установки обнолвений, поскольку значительная часть уязвимостей связана, в первую очередь, с неверной настройкой сетевых компонентов и веб-приложений, а также отсутствием адекватных защитных средств и корректной парольной политики. О необходимости этого говорят рекомендации ФСТЭК России (Федеральная служба по техническому и экспортному контролю) и НКЦКИ (Национальный координационный центр по компьютерным инцидентам).

В случае несанкционированного доступа к сетевым ресурсам компания понесет репутационные и финансовые потери, не считая затрат на восстановительные работы и расследование инцидента. Кроме этого, на скомпрометированных ресурсах могут содержаться и персональные данные физических лиц, за сохранность которых компания несет ответственность перед законом.

Тестирование на проникновение как способ выявить и исправить проблемы раньше, чем он них узнает злоумышленник

Возникает закономерный вопрос, а что же делать в такое непростое время? Ответ логичен – произвести проверку своих сетевых ресурсов на безопасность, исправив недостатки защищенности сетевой инфраструктуры.

Что входит в анализ защищенности внешнего сетевого периметра:

  • Определение границ работ;
  • Сбор и анализ информации;
  • Поиск уязвимостей и других недостатков сетевого периметра;
  • Разработка рекомендаций и подготовка отчета.

Что получает заказчик:

  • Оценка текущего уровня защищенности сети;
  • Анализ конфигурации оборудования периметра и перечень найденных уязвимостей;
  • Анализ рисков;
  • Сценарий проникновения в корпоративную сеть, включая инструментарий и способы эксплуатации выявленных уязвимостей;
  • Рекомендации по устранению найденных уязвимостей или компенсирующие меры.

О компании

Коллектив Pentestit представляют сертифицированные специалисты с опытом работы в области ИТ и ИБ более 10 лет. Специализируясь в области практической информационной безопасности, мы производим поиск уязвимостей на защищенных Интернет-ресурсах, выступаем с докладами на международных форумах, разрабатываем программное обеспечение для защиты от хакерских атаки и создаем уникальные лаборатории тестирования на проникновение «Test lab», в которых принимают участие профессионалы со всего мира.

Тестирования на проникновение сетевого периметра позволяет получить актуальную и независимую оценку состояния защищенности корпоративной сети от хакерских атак, устранив потенциальные «точки входа» раньше, чем этим воспользуется злоумышленник.