Get best of the week

Gestión de vulnerabilidades: más: ¿gestión o vulnerabilidades?



En este artículo, queremos compartir con ustedes los casos que le sucedieron a nuestros clientes y contar / mostrar / responder la pregunta de por qué la gestión de vulnerabilidades casi siempre no se trata de vulnerabilidades, y lo simple es "filtraremos 1,000,000 de vulnerabilidades para usted mínimo realmente importante "no es suficiente.

Caso # 1 "¡Oh, nosotros mismos sabemos que todo está mal con nosotros!"


Objeto: módulo de control remoto (IPMI) instalado en servidores críticos: más de 500 unidades.
Vulnerabilidad: nivel de criticidad (puntaje CVSS) - 7.8

CVE-2013−4786 - vulnerabilidad en el protocolo IPMI que permitió que un atacante obtuviera acceso a los hash de contraseña del usuario, lo que podría conducir a un acceso no autorizado y un posible secuestro de cuenta por parte de los atacantes.

Descripción del caso: el cliente conocía la vulnerabilidad en sí misma, sin embargo, por una serie de razones que se describen a continuación, no fue más allá de "asumir riesgos".

La complejidad del caso en sí es que los parches están lejos de estar disponibles para todas las placas base que usan este módulo, y la actualización del firmware en una cantidad tan grande de servidores requiere una gran cantidad de recursos.

Hubo métodos de mitigación alternativos: listas de acceso (ACL) en el equipo de red (es muy difícil ya que los administradores están muy distribuidos y usan IPMI de donde proviene) e inhabilitar IPMI, aquí, creo, los comentarios son innecesarios (por si acaso: 500 servidores distribuidos deben ser administrados regularmente "en aras de la seguridad, nadie lo hará)

aquí generalmente termina con la historia, pero de nuestro lado se hizo un análisis adicional de vulnerabilidad y quedó claro que la contraseña tiene una cuenta devuelta por el servidor solo si la solicitud en el servidor existente D inicio de sesión, por lo que se decidió:

1. Cambiar el identificador en las cuentas difíciles de obtener
Por supuesto, esto no es una panacea. Y si, sin prisa, para no "brillar", clasifique los inicios de sesión, tarde o temprano será posible recogerlo. Pero lo más probable es que lleve mucho tiempo tener tiempo para implementar medidas adicionales.

2. Cambie la contraseña para que el hash tenga que ser brutalmente más largo. Una
situación similar a la Cláusula 1: forzar por fuerza bruta el hash SHA1 de una contraseña de 16 caracteres tomará una eternidad.

Como resultado, una vulnerabilidad peligrosa que se conocía, y que incluso podría ser fácilmente explotada por Script Kiddie, se cerró con recursos mínimos.

Caso # 2 "¡Podemos descargar OpenVAS sin ti!"


Objeto: todos los enrutadores y conmutadores de la empresa: más de 350 dispositivos.
Vulnerabilidad : nivel de criticidad (puntaje CVSS) - 10.0

CVE-2018-0171 - vulnerabilidad en la funcionalidad de Cisco Smart Install, cuya operación conduce a un cambio en la configuración del equipo, incluido un cambio de contraseña y su pérdida por parte de un administrador legal, es decir, pérdida de control sobre el dispositivo. Por lo tanto, un atacante obtendrá acceso completo al dispositivo.

Descripción del caso:A pesar del uso de varios escáneres, incluidos los comerciales, ninguno de ellos mostró esta vulnerabilidad. Quizás las firmas en ese momento estaban lejos de ser ideales para esta vulnerabilidad, o la topología de red afectada, de una forma u otra, un precedente. Nosotros, como empresa que brinda este servicio por un tiempo determinado, tenemos nuestra propia base con vulnerabilidades realmente peligrosas, que también verificamos.

El cliente no utilizó la funcionalidad Smart Install, por lo que la solución en sí misma, debido a la complejidad de actualizar el firmware (incluso teniendo en cuenta la parte de hardware desactualizada), se redujo a proporcionar al cliente una lista de direcciones IP donde el servicio vulnerable fue desactivado por el script.

Como resultado, se corrigió la vulnerabilidad crítica en la gran mayoría de los equipos de red, que podría pasar desapercibida y, en caso de un ataque que llevaría a un cierre completo de toda la empresa.

Caso # 3 "¡Si quisieras, ya estaríamos rotos!"


Objeto: controlador de dominio, servidor de correo y otros dispositivos / servidores / hosts críticos para la empresa
Vulnerabilidad: nivel de criticidad (puntaje CVSS) - 9.3

CVE-2017-0144 - vulnerabilidad en el protocolo SMB que permite la ejecución remota de código arbitrario en el servidor (a través de un grupo Las vulnerabilidades, que incluyen la en cuestión, fueron distribuidas por el ransomware WannaCry

Descripción del caso: Al comienzo de la provisión de servicios durante la exploración programada, se descubrió una vulnerabilidad crítica, la única recomendación posible es instalar actualizaciones del sistema operativo. El cliente estuvo de acuerdo con esta decisión, pero como resultado del escaneo de control, la vulnerabilidad se mantuvo. Después de la escalada de la situación y una reunión personal con el Cliente, resultó que la razón era el factor humano: la tarea no fue realizada por un especialista.

Consecuencias: durante varios días, como resultado de ignorar la tarea, el malware que se propagó con éxito por la red llegó a la estación de trabajo del usuario, esta vulnerabilidad fue explotada, lo que condujo a la falla del controlador de dominio.

Como resultado, la compañía sufrió grandes pérdidas (el trabajo de restauración de la infraestructura tomó varios meses).

     ,      ,    –      ,    .   –           ,   ,  ,       ,      ,     .

Dmitry Golovnya GolovnyaD
Analista SOC, Acribia

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles