Get best of the week

Gerenciamento de vulnerabilidades - mais: gerenciamento ou vulnerabilidades?



Neste artigo, queremos compartilhar com você os casos que aconteceram com nossos clientes e informar / mostrar / responder à pergunta por que o gerenciamento de vulnerabilidades quase sempre não se refere a vulnerabilidades, e o mais simples é que “filtraremos 1.000.000 de vulnerabilidades para você realmente importante mínimo "não é suficiente.

Caso nº 1 “Ah, nós mesmos sabemos que tudo está ruim conosco!”


Objeto: módulo de controle remoto (IPMI) instalado em servidores críticos - mais de 500 unidades.
Vulnerabilidade: nível de criticidade (Pontuação CVSS) - 7.8

CVE-2013−4786 - vulnerabilidade no protocolo IPMI que permitiu que um invasor obtivesse acesso aos hashes de senha do usuário, o que poderia levar a acesso não autorizado e possível seqüestro de contas pelos invasores.

Descrição do caso: o cliente sabia da própria vulnerabilidade, no entanto, por vários motivos descritos abaixo, não foi além de "correr riscos".

A complexidade do caso em si é que os patches estão longe de estar disponíveis para todas as placas-mãe que usam este módulo, e a atualização do firmware em um número tão grande de servidores demanda muito recurso.

Havia métodos alternativos de mitigação - listas de acesso (ACLs) em equipamentos de rede (é muito difícil, pois os administradores são muito distribuídos e usam IPMI de onde vem) e desativando o IPMI, acho que aqui os comentários são supérfluos (apenas no caso: 500 servidores distribuídos gerenciam regularmente "pernas" "por uma questão de segurança, ninguém

termina ) aqui geralmente termina com a história, mas, do nosso lado, foi feita uma análise adicional da vulnerabilidade e ficou claro que a senha hash uma conta retornada pelo servidor apenas se a solicitação no servidor existente D login, por isso foi decidido:

1. Alterar o identificador nas contas difíceis de recolher
Claro, isso não é uma panacéia. E se, sem pressa, para não "brilhar", classifique os logins, mais cedo ou mais tarde será possível buscá-lo. Mas é provável que demore muito tempo para implementar medidas adicionais.

2. Altere a senha para que o hash seja brutalmente mais longo.Uma
situação semelhante à Cláusula 1 - para forçar com força bruta o hash SHA1 de uma senha de 16 caracteres levará uma eternidade.

Como resultado, uma vulnerabilidade perigosa conhecida e que poderia ser facilmente explorada pelo Script Kiddie foi encerrada com o mínimo de recursos.

Caso 2 "Podemos fazer o download do OpenVAS sem você!"


Objeto: todos os roteadores e comutadores da empresa - mais de 350 dispositivos.
Vulnerability : level criticality (CVSS Score) - 10.0

CVE-2018-0171 - vulnerabilidade na funcionalidade do Cisco Smart Install, cuja operação leva a uma alteração na configuração do equipamento, incluindo uma alteração de senha e sua perda por um administrador legal, ou seja, perda de controle sobre o dispositivo. Assim, um invasor terá acesso total ao dispositivo.

Descrição do caso:Apesar do uso de vários scanners, incluindo os comerciais, nenhum deles mostrou essa vulnerabilidade. Talvez as assinaturas da época estivessem longe do ideal para essa vulnerabilidade ou a topologia de rede afetada, de uma maneira ou de outra - um precedente. Nós, como empresa que presta esse serviço por um determinado período, temos nossa própria base com vulnerabilidades muito perigosas, que também verificamos.

O cliente não usou a funcionalidade Instalação Inteligente; portanto, a solução em si, devido à complexidade da atualização do firmware (mesmo considerando a parte desatualizada do hardware), passou a fornecer ao cliente uma lista de endereços IP em que o serviço vulnerável foi desativado pelo script.

Como resultado, foi corrigida a vulnerabilidade crítica na grande maioria dos equipamentos de rede, que poderia passar despercebida e, no caso de um ataque, levar a um desligamento completo de toda a empresa.

Caso nº 3: “Se você quisesse, já teríamos quebrado!”


Objeto: controlador de domínio, servidor de email e vários outros dispositivos / servidores / hosts críticos para a empresa
Vulnerability: level of criticality (CVSS Score) - 9.3

CVE-2017-0144 - vulnerabilidade no protocolo SMB que permite a execução remota de código arbitrário no servidor (por meio de um grupo vulnerabilidades, incluindo a em questão, foram distribuídas pelo ransomware WannaCry).

Descrição do caso: no início da prestação de serviços durante a verificação agendada, uma vulnerabilidade crítica foi descoberta; a única recomendação possível é instalar atualizações do sistema operacional. O cliente concordou com essa decisão, mas com base nos resultados da verificação de controle, a vulnerabilidade permaneceu. Após a escalada da situação e uma reunião pessoal com o Cliente, verificou-se que o motivo era o fator humano - a tarefa não foi realizada por um especialista.

Consequências: por vários dias, como resultado de ignorar a tarefa, o malware que se espalha com sucesso pela rede chegou à estação de trabalho do usuário, essa vulnerabilidade foi explorada, o que levou à falha do controlador de domínio.

Como resultado, a empresa sofreu grandes perdas (o trabalho de restauração da infraestrutura levou vários meses).

     ,      ,    –      ,    .   –           ,   ,  ,       ,      ,     .

Dmitry Golovnya GolovnyaD
Analista de SOC, Acribia

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles