10 kritičnih nalaza pentesting-a mreže koje IT timovi zanemaruju

Nakon što je prošle godine izvršio preko 10.000 automatiziranih testova interne penetracije mreže, vPenTest je otkrio zabrinjavajuću stvarnost da mnoga kompanije još uvijek imaju kritične sigurnosne praznine koje napadači mogu lako iskoristiti.

Organizacije često pretpostavljaju da su  firewalls, zaštita endpoints i SIEM dovoljni da ih održe sigurnima. Ali koliko su efikasne ove odbrane kada se stave na probu? Tu dolazi vPenTest , automatizovana platforma za pentestiranje mreže Vonahi Security. Dizajniran da simulira scenarije napada u stvarnom svijetu, vPenTest pomaže organizacijama da pronađu ranjivosti koje je moguće iskoristiti prije nego što to mogu cyber kriminalci.

Ovo nisu kompleksni eksploati nultog dana. To su pogrešne konfiguracije, slabe lozinke i nezakrpljene ranjivosti koje napadači rutinski iskorištavaju da bi dobili pristup, pomjerili se sa strane i eskalirali privilegije unutar mreža. Evo kako se ovi rizici razlažu:

• 50% proizilazi iz pogrešnih konfiguracija – zadane postavke, slabe kontrole pristupa i zanemarene sigurnosne politike.

• 30% je zbog nedostajućih zakrpa – Nezakrpljeni sistemi koji ostavljaju otvorena vrata za poznate podvige.

• 20% uključuje slabe lozinke – Usluge rade bez odgovarajuće autentifikacije, što napadačima olakšava ulazak.

U ovom članku ćemo pokriti deset najkritičnijih sigurnosnih rizika interne mreže , razlažući šta su, zašto su opasni i kako ih popraviti prije nego što se pretvore u stvarne probleme. Počećemo od najmanje uobičajenih i napredovati do problema broj jedan koji smo videli u hiljadama procena sa vPenTest-om . Ako ove slabosti postoje u vašem okruženju, napadači će ih pronaći – samo je pitanje vremena.

10. Nedostaci lozinke – Redis usluga

CVSS3: 9.9

% pojavljivanja: 1,3%

Šta je to:

• Redis je skladište podataka ključ/vrijednost u memoriji koje se obično koristi za keširanje, posredovanje poruka i analizu u realnom vremenu. Podrazumjevano, Redis ne sprovodi autentifikaciju, dozvoljavajući klijentima da se povežu bez kredencijala.

Uticaj na sigurnost:

• Ako protivnik dobije pristup Redis servisu, može dobiti osjetljive podatke pohranjene u bazama podataka koji se nalaze na serveru i eventualno eskalirati privilegije kako bi dobili pristup na nivou sistema, zavisno o mogućnostima usluge Redis i dozvolama povezanim s kompromitovanim korisničkim računom. To bi moglo dovesti do neovlaštene manipulacije podacima, eksfiltracije podataka ili dalje eksploatacije sistema.

Preporuka:

• Neophodno je konfigurisati uslugu Redis tako da zahtijeva jaku lozinku koja zadovoljava politiku lozinki organizacije. Čvrsta lozinka treba da obuhvata sledeće kriterijume:

1. Najmanje 12 znakova
2. Nije lako pogoditi, npr. ne može se naći u rječniku
3. Kombinacija velikih slova, malih slova, brojčanih cifara i/ili posebnih znakova
4. Provjerljivo prema poznatim kompromitovanim bazama podataka lozinki (npr. www.haveibeenpwned.com )

9. Firebird serveri prihvataju podrazumjevane kredencijale

CVSS3: 9.0

% pojavljivanja: 1,4%

Šta je to:

• Zadani kredencijali su često tvrdo kodirana korisnička imena i lozinke namijenjene za početno podešavanje i treba ih odmah promijeniti kako bi se održala sigurnost. Ovaj problem nastaje kada se sistemi implementiraju bez rekonfiguracije ili kada se zadane postavke previde tokom procesa postavljanja.

Uticaj na sigurnost:

• Oslanjanje na podrazumjevane kredencijale za Firebird servere može dovesti do neovlašćenog pristupa, omogućavajući napadačima da se autentifikuju i izvrše izviđanje na pogođenim sistemima. Mogli bi nabrajati datoteke ili mijenjati konfiguracije sistema, otvarajući tako puteve za daljnju eksploataciju. Ako napadač idenfikuje lokaciju datoteka Firebird baze podataka, može dobiti mogućnost čitanja ili izmjene osjetljivih informacija baze podataka. Štaviše, određenim verzijama Firebird-a može se manipulisati kako bi se izvršile sistemske komande, čime se proširuje kontrola napadača nad udaljenim hostom.

Preporuka:

• Da biste ublažili ovu ranjivost, neophodno je koristiti GSEC alat za promjenu zadanih kredencijala povezanih sa Firebird serverima. Osim toga, implementacija politike za redovne revizije kredencijale i osiguranje da su sve zadane postavke modifikovane prije implementacije može dodatno poboljšati sigurnost. Kontinuirano praćenje dnevnika pristupa serveru za neovlaštene pokušaje i omogućavanje upozorenja za sumnjive aktivnosti pomoći će u ranom otkrivanju potencijalnih eksploatacija.

8. Microsoft Windows RCE (BlueKeep)

CVSS3: 9.8

% pojavljivanja: 4,4%

Šta je to:

• BlueKeep je ranjivost na daljinsko izvršavanje koda u Microsoftovom protokolu za udaljenu radnu površinu (RDP), identifikovana kao CVE-2019-0708.

Uticaj na sigurnost:

• Iskorištavanje ranjivosti BlueKeep omogućava napadaču da preuzme potpunu kontrolu nad zahvaćenim sistemom(ima). Ovaj nivo pristupa može olakšati dalje napade unutar infrastrukture organizacije, uključujući potencijalno izvlačenje osjetljivih podataka kao što su lozinke i hešovi lozinki. Uz to, napadač bi mogao navigirati bočno unutar mreže, kompromitirajući dodatne sisteme i usluge. Priroda eksploatacije znači da za izvršenje napada nisu potrebne nikakve posebne privilegije ili provjereni pristup, čime se pojednostavljuje proces za napadača i pojačava potencijalni utjecaj na organizaciju.

Preporuka:

• Od ključne je važnosti odmah primijeniti sva relevantna sigurnosna ažuriranja na zahvaćeni sistem(e) kako bi se ublažila ranjivost BlueKeep-a. Organizacije treba da izvrše detaljnu reviziju svojih procesa upravljanja zakrpama kako bi identifikovale faktore koji doprinose odsustvu pravovremenih ažuriranja. S obzirom na iskoristivost ove ranjivosti i njenu sposobnost da ozbiljno kompromituje sisteme, hitan odgovor je od suštinskog značaja za očuvanje digitalnog okruženja organizacije.

7. Microsoft Windows RCE (EternalBlue)

CVSS3: 9.8

% pojavljivanja: 4,5%

Šta je to:

• EternalBlue je ranjivost na daljinsko izvršavanje koda u protokolu Microsoft Server Message Block (SMBv1). Omogućava napadaču da pošalje posebno kreirane pakete ranjivom sistemu, omogućavajući neovlašćeni pristup i izvršavanje proizvoljnog koda sa privilegijama na nivou sistema.

Uticaj na sigurnost:

• Iskorišćavanje ranjivosti EternalBlue omogućava napadaču da dobije potpuni administrativni pristup zahvaćenom sistemu(ima). Ovaj pristup može olakšati dalje maliciozne radnje unutar mreže organizacije, uključujući ekstrakciju lozinki otvorenog teksta i heševa lozinki, kao i bočno kretanje ka drugim sistemima. Važno je da ova ranjivost ne zahtijeva od napadača da eskalira privilegije na kompromitovanom sistemu, što znači da može pokrenuti izviđanje i dalje napade bez ikakvih dodatnih napora.

Preporuka:

• Da biste ublažili rizik povezan sa ranjivosti EternalBlue, imperativ je odmah primijeniti relevantne sigurnosne zakrpe na sve pogođene sisteme. Dodatno, treba izvršiti detaljnu reviziju programa upravljanja zakrpama organizacije kako bi se identifikovali svi nedostaci koji su doveli do statusa nezakrpljenih sistema ovih sistema. S obzirom na visok rizik i rasprostranjenost iskorištavanja ove ranjivosti, hitni napori na sanaciji su od ključne važnosti.

6. Zaobilaznica IPMI autentikacije

CVSS3: 10.0

% pojavljivanja: 15,7%

Šta je to:

• Inteligentni interfejs za upravljanje platformom (IPMI) je kritično hardversko rešenje koje koriste mrežni administratori za centralizovano upravljanje serverom(ima). Tokom konfiguracije servera(ova) opremljenih IPMI-jem, mogu postojati određene ranjivosti koje omogućavaju napadačima da daljinski zaobiđu mehanizam autentifikacije. Ovo rezultuje ekstrakcijom hešova lozinki, a u slučajevima kada se koriste zadani ili slabi algoritmi heširanja, napadači bi potencijalno mogli povratiti lozinke otvorenog teksta.

Uticaj na sigurnost:

• Mogućnost izdvajanja lozinki otvorenog teksta predstavlja značajan sigurnosni rizik, jer napadač može iskoristiti ove informacije da dobije neovlašteni daljinski pristup osjetljivim uslugama, uključujući Secure Shell (SSH), Telnet ili web-bazirana interfejsa. Takav neovlašteni pristup mogao bi omogućiti manipulaciju konfiguracijama, negativno utječući na dostupnost i integritet usluga koje pružaju kompromitovani server(i).

Preporuka:

• S obzirom na nepostojanje zakrpe za ovu ranjivost, neophodno je implementirati jednu ili više od sljedećih strategija ublažavanja:
  1. Ograničite IPMI pristup striktno na ovlašteni sistem(e) koji zahtijevaju administrativne funkcionalnosti.
  2. Onemogućite IPMI uslugu na serverima kojima nije potrebna za poslovne operacije.
  3. Promijenite zadanu administratorsku lozinku(e) u jake, složene alternative kako biste poboljšali sigurnost.
  4. Upotrijebite sigurne komunikacijske protokole, kao što su HTTPS i SSH, kako biste ublažili rizik od napada čovjeka u sredini koji bi mogli razotkriti osjetljive vjerodajnice.

5. Zastarjeli Microsoft Windows sistemi

CVSS3: 9.8

% pojavljivanja: 24,9%

Šta je to:

• Zastarjeli Microsoft Windows sistem(i) predstavljaju značajne sigurnosne rizike, jer više ne primaju kritična ažuriranja od Microsofta. Ovim sistemima možda nedostaju bitne sigurnosne zakrpe koje se bave poznatim ranjivostima, što ih efektivno čini podložnijim eksploataciji od strane napadača. Osim toga, odsustvo ažuriranja može dovesti do problema kompatibilnosti sa modernim sigurnosnim alatima i softverom, dodatno umanjujući odbranu sistema. Ranjivosti na zastarjelim sistemima se često mogu iskoristiti u napadima, kao što su distribucija malicioznog softvera, eksfiltracija podataka i neovlašteni pristup.

Uticaj na sigurnost:

• Ako se eksploatiše, zastarjeli Microsoft Windows sistem može omogućiti napadaču da dobije neovlašteni pristup zahvaćenom sistemu(ima), izlažući osjetljive podatke i resurse. Nadalje, zbog potencijalne sličnosti u konfiguracijama među sistemima unutar iste mreže, napadač može koristiti kompromitovani sistem(e) kao početnu tačku za bočno kretanje, kompromitujući dodatne sisteme i povećavajući ukupni otisak provale.

Preporuka:

• Preporučuje se zamjena zastarjelih verzija Microsoft Windowsa trenutnim operativnim sistemom(ima) koje još uvijek podržava proizvođač. Ovo bi trebalo da uključuje provođenje temeljnog popisa svih sistema kako bi se identifikovale i dale prioritet zastarjelim verzijama, nakon čega slijedi implementacija fazne strategije nadogradnje. Redovno provjeravajte da li svi sistemi primaju najnovija ažuriranja i zakrpe kako biste održali sigurnosni integritet.

4. IPv6 DNS lažiranje

CVSS3: 10.0

% pojavljivanja: 49,9%

Šta je to:

• Rizik od lažiranja IPv6 DNS-a proizilazi iz mogućeg uvođenja lažnog DHCPv6 servera unutar interne mrežne infrastrukture. Zbog preferencije Microsoft Windows sistema za IPv6 u odnosu na IPv4, klijenti koji podržavaju IPv6 skloni su da svoje konfiguracije IP adresa dobiju sa bilo kojeg dostupnog DHCPv6 servera.

Uticaj na sigurnost:

• Primjena lažnog DHCPv6 servera omogućava napadaču da manipuliše DNS zahtevima preusmeravanjem klijenata sa omogućenim IPv6 da iskoriste napadačev sistem kao svoj DNS server. Ova mogućnost može dovesti do ozbiljnih posljedica, kao što je neovlašteno hvatanje osjetljivih podataka, uključujući korisničke kredencijale. Kada se svi DNS upiti razriješe do napadačevog servera, sistem žrtve može nehotice komunicirati sa malicioznim servisima koji rade na infrastrukturi napadača, uključujući platforme kao što su SMB, HTTP, RDP i MSSQL.

Preporuka:

• Da bi se umanjili rizici povezani sa lažiranjem IPv6 DNS-a, preporučuju se sljedeće strategije, s naglaskom na usklađivanju svakog pristupa s organizacijskim operacijama i temeljnim testiranjem prije implementacije:

1. Upravljajte lažnim DHCP-om na mrežnom sloju: Implementirajte funkcije kao što su otkrivanje lažnog DHCP-a, DHCP njuškanje i DHCP autentifikacija na mrežnim prekidačima i zaštitnim zidovima kako biste kontrolirali neovlaštene DHCP servere i smanjili vjerovatnoću napada DNS lažiranja.

2. Preferiraj IPv4 nad IPv6: Koristite objekte grupne politike (GPO) ili postavke grupnih politika (GPP) za implementaciju modifikacija registra koje konfigurišu Windows sisteme da favorizuju IPv4 u odnosu na IPv6. Važno je napomenuti da ovaj pristup neće spriječiti napade da utječu na uređaje koji nisu Windows.

3. Onemogućite IPv6: Iako generalno nije preporučljivo za Microsoft Windows sisteme, onemogućavanje IPv6 se može smatrati krajnjom mjerom predostrožnosti, pod uvjetom da temeljno testiranje osigurava da nema značajnih poremećaja u poslovanju.

3. Local-Local Multicast Name Resolution (LLMNR) Spoofing

CVSS3: 9.8

% pojavljivanja: 65,5%

Šta je to:

Link-Local Multicast Name Resolution (LLMNR) je protokol dizajniran za razlučivanje imena unutar internih mrežnih okruženja kada su tradicionalne usluge Domain Name System (DNS) ili nedostupne ili neefikasne. LLMNR djeluje kao rezervni mehanizam, olakšavajući rješavanje DNS imena putem višestrukih upita. Proces rješavanja se odvija na sljedeći način:

1. Sistem prvo pita svoj lokalni host fajl da pronađe odgovarajuću IP adresu za navedeno DNS ime.
2. Ako ne postoji lokalni unos, sistem pokreće DNS upit usmjeren na konfigurisane DNS servere kako bi riješio ime.
3. Ako DNS server(i) ne pruži rješenje, sistem emituje LLMNR upit preko lokalne mreže, tražeći odgovore od drugih domaćina.

Ovo oslanjanje na multicast emitovanje uvodi ranjivosti, jer svaki aktivni sistem može odgovoriti na upite, potencijalno dovodeći u zabludu sistem koji traži.

Uticaj na sigurnost:

• Priroda emitovanje LLMNR upita omogućava bilo kojem sistemu na lokalnoj mreži da odgovori svojom IP adresom kao odgovor na zahtjev za rješavanje. Maliciozni hakeri to mogu iskoristiti slanjem izrađenih odgovora koji sadrže adresu sistema napadača. Ova mogućnost otvara puteve za značajna kršenja sigurnosti, posebno ako je upit vezan za osjetljive usluge kao što su SMB, MSSQL ili HTTP. Uspješno preusmjeravanje može olakšati hvatanje osjetljivih informacija uključujući otvoreni tekst i heširane kredencujaka računa. Važno je napomenuti da heširani kredencijali mogu biti podvrgnuti modernim napadima grube sile, čime se ugrožava sigurnost računa.

Preporuka:

• Da biste ublažili rizike povezane sa LLMNR lažiranjem, ključno je onemogućiti LLMNR funkcionalnost na pogođenim sistemima. To se može postići kroz sljedeće metode:

1. Konfiguracija smernica grupe: Idite na Konfiguracija računara\Administrativni predlošci\Mreža\DNS klijent i postavite ‘Isključi rezoluciju imena višestrukog prenosa’ na Omogućeno. Za administriranje konfiguracija na Windows Server 2003 kontroleru domena, koristite alate za udaljenu administraciju servera za Windows 7 koji su dostupni na ovoj vezi.

2. Modifikacija registra za Windows Vista/7/10 Home Edition: Pristupite registru na adresi HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient i modifikovali ključ ‘EnableMulticast’ na 0 ili ga uklonite da biste onemogućili funkciju.

2. Prevara NetBIOS usluge imena (NBNS).

CVSS3: 9.8

% pojavljivanja: 73,3%

Šta je to:

NetBIOS Name Service (NBNS) je protokol koji koriste radne stanice unutar interne mreže za rješavanje imena domena kada je DNS server nedostupan ili ne reaguje. Kada sistem pokuša da razriješi DNS ime, slijedi ove korake:

1. Sistem prvo provjerava svoj lokalni host fajl za unos koji mapira DNS ime u IP adresu.
2. Ako ne postoji lokalno mapiranje, sistem šalje DNS upit na svoje konfigurisane DNS servere u pokušaju da dohvati odgovarajuću IP adresu.
3. Ako DNS server(i) ne može riješiti ime, sistem emituje NBNS upit preko lokalne mreže, tražeći odgovore od drugih sistema.

Ova zavisnost od emitovanja čini NBNS ranjivim na napade lažiranja, pri čemu napadač može odgovoriti lažnom IP adresom.

Uticaj na sigurnost:

• Priroda emitovanje NBNS upita znači da svaki sistem na lokalnoj mreži može odgovoriti. Ovu ranjivost mogu iskoristiti maliciozni hakeri koji na ove upite mogu odgovoriti IP adresom sistema napadača, preusmjeravajući promet namijenjen legitimnim uslugama. Na primjer, usluge kao što su SMB, MSSQL ili HTTP mogu nehotice poslati osjetljive podatke, uključujući čisti tekst ili heširane kredencijale računa, sistemu napadača. Štaviše, moderne računarske mogućnosti mogu olakšati razbijanje heširanih kredencijale, potencijalno omogućavajući neovlašteni pristup korisničkim nalozima.

Preporuka:

• Da biste smanjili rizik od lažiranja NBNS-a, preporučljivo je onemogućiti NetBIOS uslugu na svim hostovima unutar interne mreže. Ovo se može postići različitim metodama uključujući konfiguraciju DHCP opcija, prilagođavanje postavki mrežnog adaptera ili modifikacije sistemskog registra. Implementacija ovih promjena značajno će smanjiti potencijalnu površinu napada povezanu s NBNS-om.

1. Multicast DNS (mDNS) lažiranje

CVSS3: 9.8

% pojavljivanja: 78,2%

Šta je to:

Multicast DNS (mDNS) služi kao protokol za razlikovanje imena za lokalne mreže, olakšavajući rješavanje imena domena kada namjenski DNS server nije dostupan. Proces rješavanja se odvija u fazama:

1. Sistem prvo konsultuje svoj lokalni host fajl za sva odgovarajuća mapiranja DNS imena/IP adrese.
2. U nedostatku konfigurisanog DNS servera, sistem pribjegava mDNS-u, emitujući IP multicast upit koji zahteva identifikaciju od hosta koji odgovara DNS imenu. Ovo ponašanje protokola otkriva potencijalnu ranjivost koju maliciozni hakeri mogu iskoristiti, omogućavajući im da se lažno predstavljaju za legitimne sisteme odgovarajući na ove upite.

Uticaj na sigurnost:

• Na mDNS upite, koji se prenose preko lokalne podmreže, može odgovoriti bilo koji uređaj sposoban da ih primi. Ova ranjivost omogućava napadaču da odgovori IP adresom svog sistema, potencijalno dovodeći u zabludu sistem koji postavlja upite. Takva eksploatacija može dovesti do presretanja osjetljivih informacija, uključujući nešifrirane i heširane kredencijale, zavisno o specifičnoj usluzi kojoj žrtva pokušava pristupiti (npr. SMB, MSSQL, HTTP). Treba napomenuti da se heširani kredencijale često mogu kompromitovati u relativno kratkom vremenskom okviru korišćenjem savremenih računarskih resursa i metodologija napada grubom silom.

Preporuka:

• Da bi se smanjio rizik od lažiranja mDNS-a, primarna preporuka je da potpuno onemogućite mDNS ako se ne koristi. Na Windows sistemima, to se često može uraditi implementacijom grupne politike „Onemogući rezoluciju imena višestrukog prenosa“. Kako mnoge aplikacije imaju potencijal da ponovo uvedu mDNS funkcionalnost, alternativna strategija je blokiranje UDP porta 5353 preko Windows zaštitnog zida. Za sisteme koji nisu Windows, onemogućavanje usluga kao što su Apple Bonjour ili avahi-daemon može pružiti sličnu zaštitu.

• Važno je napomenuti da onemogućavanje mDNS-a može poremetiti funkcionalnosti kao što su prebacivanje ekrana i određene tehnologije konferencijske sobe. Ukoliko potpuno onemogućavanje nije izvodljivo, razmislite o izolaciji zahvaćenih sistema unutar kontrolisanog segmenta mreže i nalaženju upotrebe jakih, složenih lozinki za sve naloge koji pristupaju ovim sistemima.

Šta pentestiranje otkriva o sigurnosnim prazninama

Nakon analize desetina hiljada procjena mreže, jedna stvar je jasna – mnoge sigurnosne praznine nisu rezultat naprednih tehnika hakovanja, već jednostavnih grešaka koje se mogu izbjeći. Slabe lozinke, zaboravljene pogrešne konfiguracije i nezakrpljeni sistemi stvaraju lake prilike za napadače. Ovo nisu ranjivosti koje se javljaju jednom u životu. To su problemi koji se ponavljaju koji se pojavljuju u mrežama svih veličina, iz godine u godinu.

Pentestiranje je poput stresnog testiranja vaše sigurnosti prije nego što to učini pravi napadač. Otkriva kako bi neko mogao provaliti, kretati se i eskalirati privilegije koristeći iste taktike na koje se oslanjaju napadači iz stvarnog svijeta. Procjene uvijek ponovo dokazuju da čak i kompanije sa jakom odbranom često imaju skrivene slabosti koje čekaju da budu iskorištene.

Problem? Većina organizacija se još uvijek oslanja na godišnje pentestove za usklađenost, ostavljajući mjesecima slijepe tačke između. Tu dolazi vPenTest iz Vonahi Security-a. Isporučuje automatizovano pentestiranje mreže na zahtjev, tako da umjesto da čekate reviziju da vam kaže šta je pošlo po zlu, možete pronaći i popraviti ranjivosti koje je moguće iskoristiti tokom cijele godine.

Cyber prijetnje se ne usporavaju, tako da ne bi trebalo ni testiranje bezbjednosti. Bilo da se radi ručno ili putem automatizacije, redovno mrežno pentestiranje je ključ za ostanak ispred napadača – ne samo provjeravanje okvira za usklađenost.

Izvor:The Hacker News