21.04.2020 @ 13:42 Безопасность сетевого периметра при переходе на удаленный режим работы penetration testing, Pentestit, безопасность сетевого периметра, тестирование на проникновение Карантин как мера, сдерживающая распространение короновируса, стала причиной масштабного перевода сотрудников многих компаний на дистанционных режим работы, понизив уровень информационной безопасности. Как убедиться в защищенности внешнего сетевого периметра, особенно когда технические специалисты экстренно открывают доступ к корпоративным ресурсам для удаленных сотрудников? Практика организации удаленного доступа Для продолжения бесперебойной работы множество компаний вынуждены организовывать удаленный доступ для своих сотрудников и делать это в кратчайшие сроки. То, что раньше было доступно только из корпоративной сети, теперь доступно из любой точки мира. Возьмем наиболее частые решения, предпринимаемые техническими специалистами для подключения сотрудников к рабочей сети: Организация доступа через RDP позволяет напрямую подключаться к терминальному серверу компании. Настройка данного доступа не занимает много времени и в условии повышенной срочности является популярным решением; Организация доступа через VPN-соединение позволяет обеспечить доступ к необходимым внутренним ресурсам компании; Использование SSH предоставляет возможность обеспечить удаленное подключение к серверам для работы через командную оболочу. Любое решение имеет свои недостатки и может быть использовано атакующими для проведения атаки. Рассмотрим проблемы, возникающие в период массового и экстренного перевода сотрудников на удаленный режим работы: Предоставление доступа к рабочему месту, используя протокол RDP, часто происходит без организации должной защиты и сопровождается компрометацией удаленного сервера. В середине 2019 года были обнаружены серьезные уязвимости, связанные с протоколом RDP: критическая уязвимость под номером CVE-2019-0708 (BlueKeep), а чуть позже опубликована CVE-2019-1181/1182 (DejaBlue). Разработчик оперативно выпустил исправления данных угроз, но компания должна быть уверена, что все сервера имеют актуальную и обновленную версию операционных систем. Использование VPN позволяет обеспечить безопасность соединения на более высоком уровне, но не делает ее абсолютной. Часто ходит мнение, что использование серверов и рабочих мест, использующих Linux, чуть ли не абсолютно безопасна. Однако данное мнение ошибочно. Так в 2019 году была обнаружена уязвимость CVE-2019-14899 и связана с сетевыми стеками операционных систем на основе Unix. В данной статье описано более подробно, но вкратце — проблема позволяет прослушивать и перехватывать VPN-соединения, а также внедрять произвольные данные в сетевые потоки. Системным администраторам, как и другим сотрудникам, приходится выполнять свои рабочие обязанности удаленно. Для доступа к серверам системные администраторы часто используют протокол SSH. Хотя данный протокол и является одним из самых безопасных, но все же даже в нем находят уязвимости, например, такая как CVE-2018-10933. Она позволяет атакующему обойти аутентификацию и получить доступ к уязвимому серверу со встроенной SSH-аутентификацией, не вводя пароль. Да, она действует для библиотек SSH c определенной версией, но надо быть уверенным, что сервер не использует именно их. Для поддержания должного уровня безопасности необходимо выполнять ряд условий: использовать не стандартный порт для SSH, ограничивать список пользователей с SSH доступом, своевременно обновлять программное обеспечение сервера и множество других более тонких настроек. (Не)безопасность почтового сервера Почтовые серверы всегда пользовались повышенным интересом со стороны злоумышленников. Например, в феврале 2020 года в сети активно шло обсуждение обнаруженной проблемы безопасности CVE-2020-0688 на серверах, использующих Microsoft Exchange. Она позволяет злоумышленникам удаленно выполнять произвольный код с привилегиями SYSTEM и компрометировать цель. Недавно были обнаружены серьезные уязвимости в распространенном почтовом агенте Exim. Одна была обнаружена в начале июня 2019 года, получила идентификатор CVE-2019-10149 и позволяла злоумышленникам запускать команды от имени root. Другая программная ошибка, получившая широкое обсуждение в сентябре 2019 года, получила идентификатор CVE-2019-15846 и при определенных условиях позволяла запустить вредоносный код с привилегиями на выполнение всех без исключения операций. В случае, если в компании вовремя не провели обновления программного обеспечения серверов, использующих Exim, то контроль над ее сервером могут полностью захватить злоумышленники. Стоит отметить, что подобные недостатки в безопасности обнаруживали и будут обнаруживать постоянно. Тут действует принцип: кто-то строит стену, а кто-то ищет в ней щели. В настоящее время сетевые ресурсы стали менее защищенными по причине появления множества «точек входа». Раньше, при обычном режиме работы компаний, в случае обнаружения уязвимости в безопасности сетевых ресурсов, системные администраторы могли оперативно ее исправить, проводя комплексные проверки и обновляя программное обеспечения всех устройств внутри сети. Теперь, когда сотрудники работают из дома со своих устройств (персональные компьютеры, ноутбуки, планшеты), временной ресурс сотрудников поддержки тратиться на помощь пользователям и организацию им удаленного доступа. В момент сильного дефицита времени и давления со стороны руководителей о срочности предоставления доступов велика вероятность пропустить критические обновления серверов или допустить ошибки в настройках сервисов. Кроме этого, открывая доступ к сервису из сети Интернет, шанс быть скомпрометированным именно через этот сервис значительно возрастает. Просты сценарии атаки на инфраструктуру В данном разделе будут представлены примеры действий злоумышленников, получающих доступ к корпоративным ресурсам. Изображения ниже демонстрируют, как осуществляется процесс несанкционированного доступа: Информация предоставлена исключительно в ознакомительных целях. Не нарушайте законодательство! SSH Успешный подбор не самого популярного пароля по протоколу SSH всего за 9 минут: RDP Использование протокола удаленного рабочего стола RDP для подбора пары логин/пароль: RCE В следующем примере продемонстрируем последовательность действий, направленных на получение возможности провести удаленное выполнение кода на сервере через уязвимость RCE в веб-приложении. Такая уязвимость входит в список угроз уровня A1 версии OWASP 2017. Один из установленных плагинов имеет подобную уязвимость и позволяет произвести атаку: Для эксплуатации уязвимости злоумышленник отправляет специально сформированный вредоносный запрос: Развернуть Получение доступа к удаленному управлению сервера через порт 4455 по результатам отправленного запроса, является полноценным удаленным выполнением кода (RCE): Для демонстрации были использованы самые примитивные примеры. Стоит учитывать, что количество используемых протоколов, служб, приложений, систем и приложений, на которые может быть направлена атака, большое множество. Предотвращение несанкционированного доступа к сетевым ресурсам компании обеспечивается не только за счет установки обнолвений, поскольку значительная часть уязвимостей связана, в первую очередь, с неверной настройкой сетевых компонентов и веб-приложений, а также отсутствием адекватных защитных средств и корректной парольной политики. О необходимости этого говорят рекомендации ФСТЭК России (Федеральная служба по техническому и экспортному контролю) и НКЦКИ (Национальный координационный центр по компьютерным инцидентам). В случае несанкционированного доступа к сетевым ресурсам компания понесет репутационные и финансовые потери, не считая затрат на восстановительные работы и расследование инцидента. Кроме этого, на скомпрометированных ресурсах могут содержаться и персональные данные физических лиц, за сохранность которых компания несет ответственность перед законом. Тестирование на проникновение как способ выявить и исправить проблемы раньше, чем он них узнает злоумышленник Возникает закономерный вопрос, а что же делать в такое непростое время? Ответ логичен – произвести проверку своих сетевых ресурсов на безопасность, исправив недостатки защищенности сетевой инфраструктуры. Что входит в анализ защищенности внешнего сетевого периметра: Определение границ работ; Сбор и анализ информации; Поиск уязвимостей и других недостатков сетевого периметра; Разработка рекомендаций и подготовка отчета. Что получает заказчик: Оценка текущего уровня защищенности сети; Анализ конфигурации оборудования периметра и перечень найденных уязвимостей; Анализ рисков; Сценарий проникновения в корпоративную сеть, включая инструментарий и способы эксплуатации выявленных уязвимостей; Рекомендации по устранению найденных уязвимостей или компенсирующие меры. О компании Коллектив Pentestit представляют сертифицированные специалисты с опытом работы в области ИТ и ИБ более 10 лет. Специализируясь в области практической информационной безопасности, мы производим поиск уязвимостей на защищенных Интернет-ресурсах, выступаем с докладами на международных форумах, разрабатываем программное обеспечение для защиты от хакерских атаки и создаем уникальные лаборатории тестирования на проникновение «Test lab», в которых принимают участие профессионалы со всего мира. Тестирования на проникновение сетевого периметра позволяет получить актуальную и независимую оценку состояния защищенности корпоративной сети от хакерских атак, устранив потенциальные «точки входа» раньше, чем этим воспользуется злоумышленник. Hekpo 4518 Новости Читать дальше >>