Get best of the week

Vulnerability Management - mehr: Management oder Schwachstellen?



In diesem Artikel möchten wir Ihnen die Fälle mitteilen, die bei unseren Kunden aufgetreten sind, und die Frage erläutern / anzeigen / beantworten, warum es beim Schwachstellenmanagement fast immer nicht um Schwachstellen geht. Die einfache Sache lautet: „Wir werden 1.000.000 Schwachstellen für Sie herausfiltern wirklich wichtiges Minimum "ist nicht genug.

Fall 1 „Oh, wir selbst wissen, dass bei uns alles schlecht ist!“


Objekt: Fernbedienungsmodul (IPMI) auf kritischen Servern installiert - mehr als 500 Stück.
Sicherheitsanfälligkeit: Kritikalitätsstufe (CVSS Score) - 7.8

CVE-2013−4786 - Sicherheitsanfälligkeit im IPMI-Protokoll, durch die ein Angreifer auf Hashes von Benutzerkennwörtern zugreifen konnte, was zu unbefugtem Zugriff und potenzieller Kontodiebstahl durch Angreifer führen würde.

Beschreibung des Falls: Der Kunde wusste von der Sicherheitsanfälligkeit selbst, ging jedoch aus einer Reihe von unten beschriebenen Gründen nicht weiter als „Risiken einzugehen“.

Die Komplexität des Falls selbst besteht darin, dass Patches nicht für alle Motherboards verfügbar sind, die dieses Modul verwenden, und das Aktualisieren der Firmware auf einer so großen Anzahl von Servern ist äußerst ressourcenintensiv.

Es gab alternative Methoden zur Schadensbegrenzung - Zugriffslisten (ACLs) auf Netzwerkgeräten (dies ist sehr schwierig, da Administratoren sehr verteilt sind und IPMI verwenden, von wo es stammt) und Deaktivieren von IPMI. Hier sind Kommentare meines Erachtens überflüssig (nur für den Fall: 500 verteilte Server verwalten regelmäßig "Beine"). "Aus Sicherheitsgründen wird

hier normalerweise niemand mit der Geschichte enden, aber von unserer Seite wurde eine zusätzliche Analyse der Sicherheitslücke durchgeführt, und es wurde klar, dass das Passwort nur dann ein vom Server zurückgegebenes Konto enthält, wenn die Anfrage auf dem vorhandenen Dienst erfolgt D Login, daher wurde beschlossen,

1. die Kennung auf den schwer zu erfassenden Konten zu ändern
Dies ist natürlich kein Allheilmittel. Und wenn Sie ohne Eile die Anmeldungen sortieren müssen, um nicht zu „glänzen“, können Sie sie früher oder später abholen. Höchstwahrscheinlich wird es jedoch viel Zeit in Anspruch nehmen, zusätzliche Maßnahmen umzusetzen.

2. Ändern Sie das Passwort so, dass der Hash länger geputtert werden muss. Eine
ähnliche Situation wie in Abschnitt 1 - Das brutale Erzwingen des SHA1-Hash eines 16- stelligen Passworts dauert ewig.

Infolgedessen wurde eine gefährliche Sicherheitslücke, die bekannt war und die sogar von Script Kiddie leicht ausgenutzt werden konnte, mit minimalen Ressourcen geschlossen.

Fall 2 "Wir können OpenVAS ohne Sie herunterladen!"


Objekt: Alle Router und Switches im Unternehmen - mehr als 350 Geräte.
Sicherheitsanfälligkeit : Kritikalitätsstufe (CVSS Score) - 10.0

CVE-2018-0171 - Sicherheitsanfälligkeit in der Funktionalität von Cisco Smart Install, deren Betrieb zu einer Änderung der Konfiguration des Geräts führt, einschließlich der Änderung des Kennworts und seines Verlusts durch den gesetzlichen Administrator, dh Verlust der Kontrolle über das Gerät. Auf diese Weise erhält ein Angreifer vollen Zugriff auf das Gerät.

Fallschilderung:Trotz der Verwendung mehrerer Scanner, einschließlich kommerzieller Scanner, zeigte keiner von ihnen diese Sicherheitsanfälligkeit. Vielleicht waren die damaligen Signaturen für diese Sicherheitsanfälligkeit oder die betroffene Netzwerktopologie auf die eine oder andere Weise alles andere als ideal - ein Präzedenzfall. Wir als Unternehmen, das diesen Service für eine bestimmte Zeit anbietet, haben eine eigene Basis mit wirklich gefährlichen Schwachstellen, die wir zusätzlich überprüfen.

Der Kunde nutzte die Smart Install-Funktionalität nicht, sodass die Lösung selbst aufgrund der Komplexität der Aktualisierung der Firmware (selbst unter Berücksichtigung des veralteten Hardwareteils) dem Client eine Liste von IP-Adressen zur Verfügung stellte, bei denen der anfällige Dienst vom Skript deaktiviert wurde.

Infolgedessen wurde die kritische Sicherheitslücke in der überwiegenden Mehrheit der Netzwerkgeräte behoben, die unbemerkt bleiben und im Falle eines Angriffs zu einem vollständigen Herunterfahren des gesamten Unternehmens führen könnte.

Fall 3 "Wenn Sie wollten, wären wir schon kaputt gewesen!"


Objekt: Domänencontroller, Mailserver und eine Reihe anderer für das Unternehmen kritischer Geräte / Server / Hosts
Sicherheitsanfälligkeit: Kritikalitätsstufe (CVSS Score) - 9.3

CVE-2017-0144 - Sicherheitsanfälligkeit im SMB-Protokoll, die die Remote-Ausführung von beliebigem Code auf dem Server (über eine Gruppe) ermöglicht Sicherheitslücken, einschließlich der fraglichen, wurden von der WannaCry-Ransomware verteilt.

Fallschilderung: Zu Beginn der Bereitstellung von Diensten während des geplanten Scannens wurde eine kritische Sicherheitsanfälligkeit entdeckt. Die einzig mögliche Empfehlung besteht darin, Betriebssystemupdates zu installieren. Der Kunde stimmte dieser Entscheidung zu, aber basierend auf den Ergebnissen des Kontrollscans blieb die Sicherheitsanfälligkeit bestehen. Nach der Eskalation der Situation und einem persönlichen Treffen mit dem Kunden stellte sich heraus, dass der Grund der menschliche Faktor war - die Aufgabe wurde nicht von einem Spezialisten ausgeführt.

Konsequenzen: Aufgrund des Ignorierens der Aufgabe gelangte Malware, die sich erfolgreich über das Netzwerk verbreitete, mehrere Tage lang auf die Workstation des Benutzers. Diese Sicherheitsanfälligkeit wurde ausgenutzt, was zum Ausfall des Domänencontrollers führte.

Infolgedessen erlitt das Unternehmen schwere Verluste (die Wiederherstellung der Infrastruktur dauerte mehrere Monate).

     ,      ,    –      ,    .   –           ,   ,  ,       ,      ,     .

Dmitry Golovnya GolovnyaD
SOC-Analyst, Acribia

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles