Lima kerentanan berbahaya untuk pekerjaan jarak jauh

Gambar: Unsplash

Saat mentransfer karyawan ke mode jarak jauh, departemen TI melakukan berbagai kesalahan keamanan dan memberi orang luar akses ke infrastruktur internal.

Untuk mulai dengan, kami akan membuat daftar kerentanan yang harus dengan cepat dihilangkan dalam infrastruktur kami sehingga bulan-bulan yang sulit ini tidak menjadi “daging yang mudah” untuk operator virus kriptografi atau kelompok APT yang berorientasi keuangan.

1. Sejak akhir Februari, jumlah node yang tersedia menggunakan Remote Desktop Protocol (RDP) telah berkembang pesat. Pemantauan kami menunjukkan bahwa rata-rata 10% dari node tersebut rentan terhadap BlueKeep ( CVE-2019-0708 ).

BlueKeep memungkinkan Anda untuk mendapatkan kendali penuh atas komputer dari jarak jauh berdasarkan sistem operasi Windows 7, Windows Server 2008 dan Windows Server 2008 R2 (sudahkah mereka beralih ke Windows 10 sejak lama dan dapat aman?). Untuk menyerang, cukup kirimkan permintaan RDP khusus ke Remote Desktop Services (RDS) yang rentan, otentikasi tidak diperlukan.

Semakin cepat jumlah node dengan protokol RDP tumbuh, semakin banyak mesin yang rentan di antara mereka (sebagai aturan). Misalnya, di Ural, jumlah node terbuka meningkat sebesar 21%, dan di 17% dari sistem ada kerentanan BlueKeep. Berikutnya adalah Siberia (masing-masing 21% dan 16%), Barat Laut (19% dan 13%), Selatan (12% dan 14%), Volga (8% dan 18%), Timur Jauh (5% dan 14%) dan Distrik federal pusat (4% dan 11%).

Selain menginstal tambalan, untuk menghilangkan kerentanan BlueKeep, serta CVE-2019-1181 / 1182 serupa dengan itu, perlu untuk menyediakan akses jarak jauh melalui gateway. Untuk koneksi RDP, ini adalah Remote Desktop Gateway (RDG), untuk VPN - VPN Gateway. Koneksi jarak jauh langsung ke tempat kerja merupakan kontraindikasi.

2. Versi baru Windows juga memiliki kerentanan yang memungkinkan penyerang berjalan di jaringan asing menggunakan kesalahan Layanan Desktop Jarak Jauh. Ini adalah CVE-2019-1181 / 1182 , dinamai oleh sejumlah pakar BlueKeep-2. Kami menyarankan untuk memeriksa dan, jika perlu, menginstal tambalan baru, bahkan jika akses jarak jauh diatur oleh RDG di jaringan Anda.

3. Di peringkat masalah keamanan paling berbahaya, kami memberikan perunggu pada kerentanan dalam perangkat lunak Citrix ( CVE-2019-19781), diidentifikasi oleh pakar Teknologi Positif Mikhail Klyuchnikov dan secara tidak resmi bernama Shitrix karena keterlambatan pembaruan dan keberadaan eksploit. Satu setengah bulan setelah publikasi rincian pertama, kerentanan hadir di sekitar 16 ribu perusahaan. Kesalahannya sangat berbahaya dan memungkinkan Anda menembus jaringan lokal dari Internet. Ini digunakan, khususnya, oleh operator virus ransomware Ragnarok dan REvil / Sodinokibi .

4. Kita tidak boleh lupa tentang kerentanan yang lebih tua pada protokol desktop jarak jauh CVE-2012-0002 (MS11-065), yang masih ditemukan pada batas jaringan. Kelemahan ini ditemukan pada tahun 2012 dikenang karena membocorkan kode PoC dari salah satu mitra Microsoft di MAAP dan tuduhandiduga seorang karyawan GRU dalam upaya untuk membeli exploit untuknya.

5. Akhirnya, ada baiknya memperhatikan kesalahan dalam mekanisme deserialization dari bahasa pemrograman PHP 7 ( CVE-2019-11043 ). Ini juga memungkinkan pengguna yang tidak sah untuk mengeksekusi kode arbitrer. Beresiko server nginx dengan FPM diaktifkan (paket untuk pemrosesan skrip dalam bahasa PHP). Kelemahan ini telah menyebabkan pengguna penyimpanan cloud NextCloud terinfeksi dengan NextCry.

Sistem manajemen terpusat untuk pembaruan dan tambalan akan membantu mengotomatiskan proses menambal sistem perusahaan, dan alat analisis keamanan akan membantu memverifikasi bahwa tidak ada kerentanan .

Instal pembaruan pada PC karyawan

Mustahil untuk tidak mengingat bahwa dari banyak PC rumahan tempat karyawan kantor pindah, mereka baru saja menghapus debu, dan mereka merupakan masalah dari sudut pandang keamanan informasi. Di dunia yang ideal, lebih baik tidak menyediakan akses untuk komputer pribadi, tetapi untuk menyoroti sistem perusahaan yang terbukti dan siap. Tetapi sekarang laptop mungkin tidak cukup untuk semua orang . Oleh karena itu, perlu untuk mengatur proses besar-besaran memperbarui PC rumah dari jarak jauh sehingga mereka tidak menjadi titik masuk bagi penyerang.

Pertama-tama, penting untuk memperbarui sistem operasi, produk kantor dan perangkat lunak antivirus. Selain itu, Anda perlu memperingatkan karyawan tentang bahaya menggunakan browser yang sudah ketinggalan zaman, seperti versi Internet Explorer yang tidak didukung. Sebelum memperbarui komputer di rumah, Anda harus membuat titik pemulihan atau membuat cadangan sistem untuk memutar kembali jika ada masalah, seperti pembaruan Windows 10 yang gagal .

Berkenaan dengan kebijakan kata sandi, kami sarankan Anda menggunakan kata sandi minimal 12 karakter untuk akun yang tidak memiliki hak pribadi dan setidaknya 15 karakter untuk yang administratif saat menghubungkan dari jarak jauh. Gunakan berbagai jenis karakter secara bersamaan (huruf kecil dan kapital, karakter khusus, angka) dan kecualikan kata sandi yang mudah ditebak. Menurut data kami, pada tahun 2019, 48% dari semua kata sandi yang dipilih terdiri dari kombinasi kata yang menunjukkan waktu tahun atau bulan dan empat digit yang menunjukkan tahun (September2019 atau dalam tata letak keyboard Inggris Ctynz, hm2019). Kata sandi seperti itu secara resmi sesuai dengan kebijakan kata sandi, tetapi dipilih sesuai dengan kamus dalam hitungan menit.

Secara umum, lompatan dalam alat kendali jarak jauh berbahaya dalam kondisi saat ini: saran kami adalah memilih satu program dan membedakan hak-hak pengguna lokal. Ini akan benar jika pada beberapa komputer jarak jauh menggunakan, misalnya, Windows AppLocker, daftar perangkat lunak yang diizinkan terdaftar.

Juga harus dikatakan tentang kemungkinan masalah yang terkait dengan pengaturan akses VPN. Spesialis TI mungkin tidak memiliki waktu untuk mengkonfigurasi ulang peralatan dalam waktu singkat dan memberikan semua pengguna VPN dengan akses yang mereka butuhkan tanpa melanggar aturan demarkasi. Akibatnya, untuk memastikan kelangsungan bisnis, profesional TI harus memilih opsi tercepat dan termudah - untuk membuka akses ke subnet yang diperlukan tidak hanya untuk satu karyawan, tetapi juga untuk semua pengguna VPN sekaligus. Pendekatan ini secara signifikan mengurangi keamanan dan membuka peluang tidak hanya untuk serangan oleh penyerang eksternal (jika ia dapat menembus), tetapi juga secara signifikan meningkatkan risiko serangan oleh orang dalam. Kami menyarankan Anda memikirkan rencana tindakan terlebih dahulu untuk mempertahankan segmentasi jaringan dan mengalokasikan jumlah kumpulan VPN yang diperlukan.

Rekayasa sosial sudah memanfaatkan sepenuhnya kisah-kisah coronavirus, dan kami menyarankan Anda membiasakan karyawan dengan topik baru serangan phishing. Grup APT seperti Gamaredon dan Higaisa mengeksploitasi kisah-kisah yang berkaitan dengan transfer, larangan, pembatalan, kerja jarak jauh, dan menyerang alamat email pribadi karyawan. Surat phishing dilakukan oleh penyerang tak dikenal ke perusahaan kami: para penjahat mencoba mencuri surat kepercayaan. Karyawan harus memahami beratnya ancaman dan bersiap untuk membedakan email yang sah dari phising. Untuk melakukan ini, kami sarankan mendistribusikan materi pelatihan visual dan memo singkat tentang keamanan informasi dan rekayasa sosial. Phising dinamis file dalam surat perusahaan menggunakan kotak pasir akan membantu mengidentifikasi gejala phishing.

Penting juga untuk memperhatikan sistem manajemen dokumen elektronik dan ERP. Saat ini, aplikasi bisnis yang sebelumnya hanya dapat diakses dari dalam dan tidak dianalisis untuk kerentanan sedang aktif disediakan untuk umum. Pada saat yang sama, tingkat keamanan mereka yang dianalisis rendah . Untuk melindungi dari eksploitasi ancaman berbasis web untuk aplikasi kritis, kami sarankan untuk menggunakan firewall, lapisan aplikasi (firewall aplikasi web).

Aksesibilitas dan ketersediaan dalam minggu-minggu ini memiliki peran penting, dan banyak perusahaan tidak akan memiliki waktu untuk menghilangkan kerentanan pada perimeter dan menyempurnakan proses IS, sehingga dalam beberapa kasus akan perlu untuk fokus pada mengidentifikasi pelanggar yang telah jatuh ke dalam infrastruktur. Dalam kasus seperti itu, mereka mungkin berlaku.deep network traffic analysis (NTA) sistem yang dirancang untuk mendeteksi serangan yang ditargetkan (secara real time dan dalam salinan lalu lintas yang disimpan) dan mengurangi waktu kehadiran penyerang secara rahasia.