Get best of the week

Manajemen Kerentanan - lebih lanjut: manajemen atau kerentanan?



Dalam artikel ini kami ingin berbagi dengan Anda kasus-kasus yang terjadi pada pelanggan kami, dan untuk memberi tahu / menunjukkan / menjawab pertanyaan mengapa manajemen kerentanan hampir selalu bukan tentang kerentanan, dan yang sederhana adalah “kami akan menyaring 1.000.000 kerentanan untuk Anda minimum sangat penting "tidak cukup.

Kasus # 1 "Oh, kita sendiri tahu bahwa semuanya buruk dengan kita!"


Objek: modul kontrol jarak jauh (IPMI) diinstal pada server kritis - lebih dari 500 pcs.
Kerentanan: tingkat kekritisan (Skor CVSS) - 7.8

CVE-2013−4786 - kerentanan dalam protokol IPMI yang memungkinkan penyerang mendapatkan akses ke hash kata sandi pengguna, yang dapat mengarah pada akses tidak sah dan potensi pembajakan akun oleh penyerang.

Deskripsi kasus: pelanggan tahu tentang kerentanan itu sendiri, namun, karena sejumlah alasan yang dijelaskan di bawah, itu tidak lebih dari sekadar "mengambil risiko".

Kompleksitas dari kasus itu sendiri adalah bahwa tambalan masih jauh dari tersedia untuk semua motherboard menggunakan modul ini, dan memperbarui firmware pada sejumlah besar server sangat intensif sumber daya.

Ada metode mitigasi alternatif - daftar akses (ACL) pada peralatan jaringan (itu sangat sulit karena admin sangat didistribusikan dan menggunakan IPMI dari mana asalnya) dan menonaktifkan IPMI, di sini, saya pikir, komentar berlebihan (hanya dalam kasus: 500 server didistribusikan secara teratur mengelola "kaki" "Demi keselamatan, tidak ada yang akan) di

sini biasanya berakhir dengan cerita, tetapi dari pihak kami dibuat analisis tambahan kerentanan dan menjadi jelas bahwa kata sandi hash akun dikembalikan oleh server hanya jika permintaan pada server yang ada D login, jadi diputuskan untuk:

1. Mengubah pengenal pada akun yang sulit diperoleh
Tentu saja, ini bukan obat mujarab. Dan jika, tidak terburu-buru, agar tidak "bersinar", memilah-milah login, maka cepat atau lambat akan mungkin untuk mengambilnya. Tetapi kemungkinan besar akan membutuhkan banyak waktu untuk menerapkan langkah-langkah tambahan.

2. Ubah kata sandi sehingga hash harus lebih lama secara brutal.
Situasi yang mirip dengan Klausa 1 - untuk secara kasar memaksa hash SHA1 dari kata sandi 16 karakter akan memakan waktu selamanya.

Akibatnya, kerentanan berbahaya yang diketahui, dan yang bahkan dapat dengan mudah dieksploitasi oleh Script kiddie, ditutup dengan sumber daya minimal.

Kasus # 2 "Kami dapat mengunduh OpenVAS tanpamu!"


Objek: semua router dan switch di dalam perusahaan - lebih dari 350 perangkat.
Kerentanan : tingkat kekritisan (Skor CVSS) - 10.0

CVE-2018-0171 - kerentanan dalam fungsi Cisco Smart Install, operasi yang mengarah pada perubahan dalam konfigurasi peralatan, termasuk mengubah kata sandi dan kehilangannya oleh administrator yang sah, yaitu, kehilangan kendali atas perangkat. Dengan demikian, penyerang akan mendapatkan akses penuh ke perangkat.

Deskripsi Kasus:Meskipun menggunakan beberapa pemindai, termasuk yang komersial, tidak ada satupun yang menunjukkan kerentanan ini. Mungkin tanda tangan pada waktu itu jauh dari ideal untuk kerentanan ini, atau topologi jaringan terpengaruh, dengan satu atau lain cara - sebuah preseden. Kami, sebagai perusahaan yang menyediakan layanan ini untuk waktu tertentu, memiliki basis kami sendiri dengan kerentanan yang sangat berbahaya, yang kami periksa juga.

Pelanggan tidak menggunakan fungsionalitas Smart Install, jadi solusinya sendiri, karena kerumitan memperbarui firmware (bahkan mengingat bagian dari peralatan yang ketinggalan zaman), datang untuk menyediakan daftar alamat IP di mana layanan yang rentan dimatikan oleh skrip.

Akibatnya, kerentanan kritis pada sebagian besar peralatan jaringan, yang bisa tidak diketahui, dan jika terjadi serangan akan menyebabkan penutupan total seluruh perusahaan, telah diperbaiki.

Kasus # 3 "Jika kamu mau, kita pasti sudah hancur!"


Objek: pengontrol domain, server surat dan sejumlah perangkat / server / host lain yang penting bagi perusahaan
Kerentanan: tingkat kekritisan (Skor CVSS) - 9,3

CVE-2017-0144 - kerentanan dalam protokol SMB yang memungkinkan eksekusi kode arbitrer di server secara remote (melalui grup) kerentanan, yang termasuk yang dimaksud, didistribusikan oleh ransomware WannaCry).

Deskripsi Kasus: pada awal penyediaan layanan selama pemindaian terjadwal, kerentanan kritis ditemukan, satu-satunya rekomendasi yang mungkin adalah menginstal pembaruan OS. Pelanggan menyetujui keputusan ini, tetapi berdasarkan hasil pemindaian kontrol, kerentanan tetap ada. Setelah eskalasi situasi dan pertemuan pribadi dengan Pelanggan, ternyata alasannya adalah faktor manusia - tugas itu tidak dilakukan oleh seorang spesialis.

Konsekuensi: selama beberapa hari, sebagai akibat mengabaikan tugas, malware yang berhasil menyebar di jaringan sampai ke workstation pengguna, kerentanan ini dieksploitasi, yang menyebabkan kegagalan pengendali domain.

Akibatnya, perusahaan menderita kerugian besar (pekerjaan restorasi infrastruktur memakan waktu beberapa bulan).

     ,      ,    –      ,    .   –           ,   ,  ,       ,      ,     .

Dmitry Golovnya GolovnyaD
Analis SOC, Acribia

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles