Cinco vulnerabilidades peligrosas para el trabajo remoto

Imagen: Unsplash

Al transferir empleados al modo remoto, los departamentos de TI cometen varios errores de seguridad y brindan a los externos acceso a la infraestructura interna.

Para comenzar, enumeraremos las vulnerabilidades que deben eliminarse rápidamente en nuestra infraestructura para que estos meses difíciles no se conviertan en "carne fácil" para los operadores de virus criptográficos o los grupos APT con orientación financiera.

1. Desde finales de febrero, el número de nodos disponibles que utilizan el Protocolo de escritorio remoto (RDP) ha crecido rápidamente. Nuestro monitoreo muestra que, en promedio, el 10% de dichos nodos son vulnerables a BlueKeep ( CVE-2019-0708 ).

BlueKeep le permite obtener de forma remota un control total sobre una computadora basada en los sistemas operativos Windows 7, Windows Server 2008 y Windows Server 2008 R2 (¿se han cambiado a Windows 10 hace mucho tiempo y pueden ser seguros?). Para atacar, simplemente envíe una solicitud RDP especial a los Servicios de escritorio remoto (RDS) vulnerables, no se requiere autenticación.

Cuanto más rápido crezca el número de nodos con el protocolo RDP, las máquinas más vulnerables se encontrarán entre ellos (como regla). Por ejemplo, en los Urales, el número de nodos abiertos aumentó en un 21%, y en el 17% de los sistemas existe una vulnerabilidad BlueKeep. Luego vienen Siberia (21% y 16% respectivamente), Noroeste (19% y 13%), Sur (12% y 14%), Volga (8% y 18%), Lejano Oriente (5% y 14%) y Distritos federales centrales (4% y 11%).

Además de instalar parches, para eliminar la vulnerabilidad BlueKeep, así como el CVE-2019-1181 / 1182 similar, es necesario proporcionar acceso remoto a través de una puerta de enlace. Para las conexiones RDP, se trata de Remote Desktop Gateway (RDG), para VPN - VPN Gateway. La conexión remota directamente al lugar de trabajo está contraindicada.

2. Las nuevas versiones de Windows también tienen vulnerabilidades que permiten que un atacante camine en una red extranjera usando errores de los Servicios de Escritorio Remoto. Este es CVE-2019-1181 / 1182 , nombrado por varios expertos en BlueKeep-2. Recomendamos verificar y, si es necesario, instalar parches nuevos, incluso si RDG organiza el acceso remoto en su red.

3. En el ranking de los problemas de seguridad más peligrosos, le damos el bronce a las vulnerabilidades en el software Citrix ( CVE-2019-19781), que fue identificado por el experto en Tecnologías Positivas Mikhail Klyuchnikov y llamado extraoficialmente Shitrix debido a retrasos en las actualizaciones y un exploit. Un mes y medio después de la publicación de los primeros detalles, la vulnerabilidad estaba presente en unas 16 mil empresas. El error es extremadamente peligroso y le permite penetrar en la red local desde Internet. Es utilizado, en particular, por los operadores de virus ransomware Ragnarok y REvil / Sodinokibi .

4. No debemos olvidar la vulnerabilidad anterior en el protocolo de escritorio remoto CVE-2012-0002 (MS11-065), que todavía se encuentra en los perímetros de la red. Esta falla descubierta en 2012 fue recordada por filtrar el código PoC de uno de los socios de Microsoft en MAAP y alegacionessupuestamente una empleada de la GRU en un intento de comprar una hazaña para ella.

5. Finalmente, vale la pena prestar atención al error en el mecanismo de deserialización del lenguaje de programación PHP 7 ( CVE-2019-11043 ). También permite que un usuario no autorizado ejecute código arbitrario. Servidores nginx en riesgo con FPM habilitado (un paquete para procesar scripts en el lenguaje PHP). La falla ha causado que los usuarios de almacenamiento en la nube de NextCloud se infecten con NextCry.

El sistema de administración centralizado para actualizaciones y parches ayudará a automatizar el proceso de parchear los sistemas corporativos, y las herramientas de análisis de seguridad ayudarán a verificar que no haya vulnerabilidades .

Instalar actualizaciones en la PC de los empleados

Es imposible no recordar que desde muchas PC hogareñas en las que se mudaron los empleados de la oficina, recientemente borraron el polvo, y son un problema desde el punto de vista de la seguridad de la información. En un mundo ideal, es mejor no proporcionar acceso a computadoras personales, sino resaltar sistemas corporativos probados y preparados. Pero ahora las computadoras portátiles pueden no ser suficientes para todos . Por lo tanto, es necesario organizar un proceso a gran escala para actualizar las PC domésticas de forma remota para que no se conviertan en un punto de entrada para los atacantes.

En primer lugar, es importante actualizar los sistemas operativos, los productos de oficina y el software antivirus. Además, debe advertir a los empleados sobre los peligros del uso de navegadores obsoletos, como las versiones no compatibles de Internet Explorer. Antes de actualizar las computadoras domésticas, debe crear un punto de recuperación o hacer una copia de seguridad del sistema para revertir en caso de problemas, como otra actualización fallida de Windows 10 .

Con respecto a la política de contraseñas, le recomendamos que utilice contraseñas de al menos 12 caracteres para cuentas sin privilegios y de al menos 15 caracteres para cuentas administrativas cuando se conecte de forma remota. Utilice diferentes tipos de caracteres al mismo tiempo (letras minúsculas y mayúsculas, caracteres especiales, números) y excluya contraseñas fáciles de adivinar. De acuerdo a nuestros datos, en 2019, el 48% de todas las contraseñas seleccionadas estaban compuestas de una combinación de una palabra que indica la época del año o mes y cuatro dígitos que indican el año (septiembre de 2019 o en la disposición del teclado en inglés Ctynz, hm2019). Dichas contraseñas corresponden formalmente a la política de contraseñas, pero se seleccionan de acuerdo con los diccionarios en cuestión de minutos.

En general, el salto en las herramientas de control remoto es perjudicial en las condiciones actuales: nuestro consejo es elegir un programa y diferenciar los derechos de los usuarios locales. Será correcto si en algunas computadoras remotas que usan, por ejemplo, Windows AppLocker, se registran listas de software permitido.

También se debe decir acerca de los posibles problemas asociados con la organización del acceso VPN. Los especialistas de TI pueden no tener tiempo para reconfigurar el equipo en poco tiempo y proporcionar a todos los usuarios de VPN el acceso que necesitan sin violar las reglas de demarcación. Como resultado, para garantizar la continuidad del negocio, los especialistas de TI tendrán que elegir la opción más rápida y fácil: abrir el acceso a la subred requerida no solo a un empleado, sino a todos los usuarios de VPN a la vez. Este enfoque reduce significativamente la seguridad y abre oportunidades no solo para los ataques de un atacante externo (si puede penetrar), sino que también aumenta significativamente el riesgo de un ataque por parte de una persona interna. Recomendamos que piense en un plan de acción por adelantado para preservar la segmentación de la red y asignar la cantidad requerida de grupos de VPN.

La ingeniería social ya hace uso completo de las historias de coronavirus, y le recomendamos que familiarice a los empleados con nuevos temas de ataques de phishing. Los grupos APT, como Gamaredon e Higaisa, explotan historias relacionadas con transferencias, prohibiciones, cancelaciones, trabajo remoto y atacan las direcciones de correo electrónico personales de los empleados. Los atacantes desconocidos llevaron a cabo un envío de phishing a nuestra empresa: los delincuentes intentaron robar credenciales. Los empleados deben comprender la gravedad de la amenaza y estar preparados para distinguir el correo legítimo del phishing. Para hacer esto, recomendamos distribuir breves materiales de capacitación visual y notas sobre seguridad de la información e ingeniería social. El phishing dinámico de archivos en el correo corporativo usando sandboxes ayudará a identificar los síntomas de phishing.

También es necesario prestar atención a los sistemas de gestión de documentos electrónicos y ERP. Hoy en día, las aplicaciones comerciales a las que antes solo se podía acceder desde el interior y no se analizaban las vulnerabilidades, se ponen a disposición del público de forma activa. Al mismo tiempo, el nivel de seguridad de los analizados fue bajo . Para protegerse contra la explotación de amenazas basadas en web para aplicaciones de misión crítica, recomendamos usar firewalls, capa de aplicación (firewall de aplicaciones web).

La accesibilidad y disponibilidad en estas semanas tiene un papel clave, y muchas empresas no tendrán tiempo para eliminar vulnerabilidades en el perímetro y ajustar los procesos de IS, por lo que en algunos casos será necesario centrarse en identificar a los infractores que ya han caído en la infraestructura. En tales casos, pueden aplicar.Sistemas de análisis de tráfico de red profunda (NTA) diseñados para detectar ataques dirigidos (en tiempo real y en copias guardadas del tráfico) y reducir el tiempo de presencia encubierta de atacantes.