Get best of the week

Vulnerability Management - plus: gestion ou vulnérabilités?



Dans cet article, nous voulons partager avec vous les cas qui se sont produits chez nos clients, et dire / montrer / répondre à la question pourquoi la gestion des vulnérabilités ne concerne presque toujours pas les vulnérabilités, et la chose simple est «nous filtrerons 1 000 000 vulnérabilités pour vous minimum vraiment important "ne suffit pas.

Cas n ° 1 "Oh, nous savons nous-mêmes que tout va mal avec nous!"


Objet: module de contrôle à distance (IPMI) installé sur des serveurs critiques - plus de 500 pièces.
Vulnérabilité: niveau de criticité (score CVSS) - 7.8

CVE-2013−4786 - vulnérabilité dans le protocole IPMI qui permettait à un attaquant d'accéder aux hachages de mot de passe de l'utilisateur, ce qui pourrait entraîner un accès non autorisé et un piratage de compte potentiel par des attaquants.

Description du cas: le client connaissait la vulnérabilité elle-même, cependant, pour un certain nombre de raisons décrites ci-dessous, elle n’allait pas plus loin que «prendre des risques».

La complexité du boîtier lui-même est que les correctifs ne sont pas pour toutes les cartes mères utilisant ce module, et la mise à jour du firmware sur un si grand nombre de serveurs est extrêmement gourmande en ressources.

Il y avait d'autres méthodes d'atténuation - listes d'accès (ACL) sur l'équipement réseau (c'est très difficile car les administrateurs sont très distribués et utilisent IPMI d'où il vient) et désactiver IPMI, ici, je pense, les commentaires sont superflus (juste au cas où: 500 serveurs distribués gèrent régulièrement les «jambes») "pour des raisons de sécurité, personne ne le fera)

se termine généralement ici avec l'histoire, mais de notre côté, une analyse supplémentaire de la vulnérabilité a été effectuée et il est devenu clair que le mot de passe hachait un compte renvoyé par le serveur uniquement si la demande sur le serveur existant Login D, il a donc été décidé de:

1. Changer l'identifiant sur les comptes glanés difficilement
Bien sûr, ce n'est pas une panacée. Et si, en toute hâte, pour ne pas «briller», trier les identifiants, tôt ou tard il sera possible de les récupérer. Mais il faudra probablement beaucoup de temps pour mettre en œuvre des mesures supplémentaires.

2. Modifiez le mot de passe pour que le hachage soit brutalisé plus longtemps.Une
situation similaire à la clause 1 - pour forcer le hachage SHA1 d'un mot de passe à 16 caractères prendra une éternité.

En conséquence, une vulnérabilité dangereuse qui était connue et qui pourrait même être facilement exploitée par Script kiddie a été fermée avec un minimum de ressources.

Cas n ° 2 "Nous pouvons télécharger OpenVAS sans vous!"


Objet: tous les routeurs et commutateurs de l'entreprise - plus de 350 appareils.
Vulnérabilité : niveau de criticité (score CVSS) - 10.0

CVE-2018-0171 - vulnérabilité dans la fonctionnalité de Cisco Smart Install, dont le fonctionnement entraîne une modification de la configuration de l'équipement, y compris la modification du mot de passe et sa perte par l'administrateur légal, c'est-à-dire la perte de contrôle sur l'appareil. Ainsi, un attaquant aura un accès complet à l'appareil.

Description du cas:Malgré l'utilisation de plusieurs scanners, notamment commerciaux, aucun d'entre eux n'a montré cette vulnérabilité. Peut-être que les signatures à l'époque étaient loin d'être idéales pour cette vulnérabilité, ou la topologie du réseau affectée, d'une manière ou d'une autre - un précédent. Nous, en tant qu'entreprise fournissant ce service depuis un certain temps, avons notre propre base avec des vulnérabilités vraiment dangereuses, que nous vérifions également.

Le client n'a pas utilisé la fonctionnalité Smart Install, donc la solution elle-même, en raison de la complexité de la mise à jour du micrologiciel (même en considérant la partie obsolète de l'équipement), s'est résumée à fournir au client une liste d'adresses IP où le service vulnérable a été désactivé par le script.

En conséquence, la vulnérabilité critique de la grande majorité des équipements réseau, qui pourrait passer inaperçue et, en cas d'attaque, entraîner un arrêt complet de l'ensemble de l'entreprise, a été corrigée.

Cas n ° 3 "Si vous l'aviez voulu, nous aurions déjà été brisés!"


Objet: contrôleur de domaine, serveur de messagerie et un certain nombre d'autres périphériques / serveurs / hôtes critiques pour l'entreprise
Vulnérabilité: niveau de criticité (score CVSS) - 9.3

CVE-2017-0144 - vulnérabilité dans le protocole SMB qui permet l'exécution à distance de code arbitraire sur le serveur (via un groupe des vulnérabilités, dont celle en question, ont été distribuées par le crypteur WannaCry).

Description du cas: au début de la fourniture des services lors de l'analyse planifiée, une vulnérabilité critique a été découverte, la seule recommandation possible est d'installer les mises à jour du système d'exploitation. Le client a accepté cette décision, mais sur la base des résultats de l'analyse de contrôle, la vulnérabilité est restée. Après l'escalade de la situation et une rencontre personnelle avec le client, il s'est avéré que la raison était le facteur humain - la tâche n'était pas effectuée par un spécialiste.

Conséquences: pendant plusieurs jours, en raison de l'ignorance de la tâche, des logiciels malveillants qui se sont propagés avec succès sur le réseau ont atteint le poste de travail de l'utilisateur, cette vulnérabilité a été exploitée, ce qui a entraîné la défaillance du contrôleur de domaine.

En conséquence, l'entreprise a subi de lourdes pertes (les travaux de restauration des infrastructures ont pris plusieurs mois).

     ,      ,    –      ,    .   –           ,   ,  ,       ,      ,     .

Dmitry Golovnya GolovnyaD
Analyste SOC, Acribia

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles