Jedan od najefikasnijih načina da profesionalci informacionih tehnologija (IT) otkriju slabosti kompanije prije nego što to učine loši momci jeste testiranje na penetraciju.
Simulirajući sajber napade u stvarnom svijetu, testiranje penetracije, koje se ponekad naziva pentestom, pruža neprocjenjiv uvid u sigurnosni položaj organizacije, otkrivajući slabosti koje bi potencijalno mogle dovesti do kršenja podataka ili drugih sigurnosnih incidenata.
Vonahi Security, kreatori vPenTest-a, automatizirane platforme za testiranje penetracije mreže, upravo su objavili svoj godišnji izvještaj „The Top 10 Critical Pentest Findings 2024“. U ovom izvještaju, Vonahi Security je sproveo preko 10.000 automatiziranih mrežnih pentestova, otkrivši 10 najboljih nalaza internih mrežnih pentestova u preko 1.200 organizacija.
Hajde da zaronimo u svaki od ovih kritičnih nalaza kako bismo bolje razumjeli uobičajene ranjivosti sa kojima se organizacije suočavaju i kako ih efikasno riješiti.
Top 10 Pentest nalaza i preporuka
1.Multicast DNS (MDNS) lažiranje
Višestruki DNS (mDNS) je protokol koji se koristi u malim mrežama za rješavanje DNS imena bez lokalnog DNS servera. Šalje upite lokalnoj podmreži, omogućavajući bilo kojem sistemu da odgovori sa traženom IP adresom. Ovo mogu iskoristiti napadači koji mogu odgovoriti IP adresom vlastitog sistema.
Preporuke:
Najefikasniji metod za sprečavanje eksploatacije je potpuno onesposobljavanje mDNS-a ako se ne koristi. Zavisno od implementacije, to se može postići onemogućavanjem Apple Bonjour ili avahi-daemon servisa
2. NetBIOS usluga imena (NBNS) lažiranje
NetBIOS usluga imena (NBNS) je protokol koji se koristi u internim mrežama za rješavanje DNS imena kada je DNS server nedostupan. On emituje upite širom mreže, a svaki sistem može odgovoriti sa traženom IP adresom. Ovo mogu iskoristiti napadači koji mogu odgovoriti sa IP adresom svog vlastitog sistema.
Preporuke:
Slijede neke strategije za sprječavanje upotrebe NBNS-a u Windows okruženju ili smanjenje utjecaja NBNS lažnih napada:
1. Konfigurirajte UseDnsOnlyForNameResolutions ključ registratora da spriječite sisteme da koriste NBNS upite (NetBIOS preko TCP/IP konfiguracijskih parametara).
2. Postavite DWORD registra na Onemogućite uslugu NetBIOS za sve Windows hostove u internoj mreži. To se može uraditi putem DHCP opcija, postavki mrežnog adaptera ili ključa registratora
3. Local-link Multicast Name Resolution (LLMNR) lažno lažiranje
Link-Local Multicast Name Resolution (LLMNR) je protokol koji se koristi u internim mrežama za razrješavanje DNS imena kada DNS server nije dostupan. On emituje upite širom mreže, dozvoljavajući svakom sistemu da odgovori sa traženom IP adresom. Ovo mogu iskoristiti napadači koji mogu odgovoriti sa IP adresom svog sistema.
Preporuke:
Najefikasniji metod za sprečavanje eksploatacije je konfigurisanje ključa registratora za rezoluciju imena višestrukog prenosa kako bi se sprečilo korišćenje LLMNR upita.
1. Korišćenje smernica grupe: Konfiguracija računara\Administrativni predlošci\Mreža\DNS klijent \Isključi rezoluciju imena višestrukog prenosa = Omogućeno (Da biste administrirali Windows 2003 DC, koristite alate za udaljenu administraciju servera za Windows 7)
2. Korišćenje registra samo za Windows Vista/7/10 Home Edition: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\ Windows NT\DNSClient \EnableMulticast
4. IPV6 DNS lažiranje
Do lažiranja IPv6 DNS-a dolazi kada je lažni DHCPv6 server postavljen na mrežu. Budući da Windows sistemi preferiraju IPv6 u odnosu na IPv4, klijenti sa omogućenim IPv6 će koristiti DHCPv6 server ako je dostupan.
Tokom napada, IPv6 DNS server se dodeljuje ovim klijentima, dok oni zadržavaju svoje IPv4 konfiguracije. Ovo omogućava napadaču da presretne DNS zahtjeve tako što će rekonfigurirati klijente da koriste napadačev sistem kao DNS server.
Preporuke:
Onemogućite IPv6 osim ako je neophodan za poslovne operacije. Budući da bi onemogućavanje IPv6 potencijalno moglo uzrokovati prekid u mrežnim uslugama, preporučuje se da testirate ovu konfiguraciju prije masovne implementacije.
Alternativno rješenje bi bila implementacija DHCPv6 guard-a na mrežnim prekidačima.
U suštini, DHCPv6 guard osigurava da je samo ovlaštenoj listi DHCP servera dozvoljeno da dodjeljuje zakup klijentima
5. Zastarjeli Microsoft Windows sistemi
Zastarjeli Microsoft Windows sistem podložan je napadima jer više ne prima sigurnosna ažuriranja. Ovo ga čini lakom metom za napadače, koji mogu iskoristiti njegove slabosti i potencijalno se okrenuti drugim sistemima i resursima na mreži.
Preporuke:
Zamijenite zastarjele verzije Microsoft Windows operativnim sistemima koji su ažurirani i podržani od strane proizvođača.
6. Zaobilaznica IPMI autentikacije
Intelligent Platform Management Interface (IPMI) omogućava administratorima da centralno upravljaju serverima. Međutim, neki serveri imaju ranjivosti koje dozvoljavaju napadačima da zaobiđu autentifikaciju i izvuku hešove lozinke. Ako je lozinka zadana ili slaba, napadači mogu dobiti čistu lozinku i dobiti daljinski pristup.
Preporuke:
Pošto za ovu ranjivost ne postoji dostupna zakrpa, preporučuje se da izvršite jednu ili više od sledećih radnji.
1. Ograničite IPMI pristup na ograničeni broj sistema - sistema koji zahtijevaju pristup u svrhu administracije.
2. Onemogućite IPMI uslugu ako nije potrebna za poslovanje.
3. Promijenite zadanu lozinku administratora u onu koja je jaka i složena.
4. Koristite samo sigurne protokole, kao što su HTTPS i SSH, na servisu kako biste ograničili šanse napa dača da uspješno dobije ovu lozinku u napadu čovjek u sredini.
7. Microsoft Windows RCE (BlueKeep)
Tokom testiranja identifikovani su sistemi ranjivi na CVE-2019-0708 (BlueKeep). Ova ranjivost Microsoft Windows-a je vrlo eksploatirana zbog dostupnih alata i koda, omogućavajući napadačima da steknu potpunu kontrolu nad pogođenim sistemima.
Preporuke:
Preporučuje se primjena sigurnosnih ažuriranja na pogođeni sistem. Nadalje, organizacija bi trebala procijeniti svoj program upravljanja zakrpama kako bi utvrdila razlog za nedostatak sigurnosnih ažuriranja.
Budući da je ova ranjivost ranjivost koja se obično koristi i može rezultirati značajnim pristupom, treba je odmah sanirati.
8. Ponovna upotreba lozinke lokalnog administratora
Tokom internog penetracijskog testa, otkriveno je da mnogi sistemi dijele istu lozinku lokalnog administratora. Kompromitovanje jednog naloga lokalnog administratora omogućilo je pristup višestrukim sistemima, značajno povećavajući rizik od raširenog kompromisa unutar organizacije.
Preporuke:
Koristite rješenje kao što je rješenje Microsoft Local Administrator Password Solution (LDAPS) kako biste osigurali da lozinka lokalnog administratora na više sistema nije konzistentna.
9. Microsoft Windows RCE (EternalBlue)
Sistemi ranjivi na MS17-010 (EternalBlue) su identifikovani tokom testiranja. Ova ranjivost Windows-a je veoma eksploatibilna zbog dostupnih alata i koda, omogućavajući napadačima da steknu potpunu kontrolu nad pogođenim sistemima.
Preporuke:
Preporučuje se primjena sigurnosnih ažuriranja na pogođeni sistem. Nadalje, organizacija bi trebala ocijeniti svoj program upravljanja zakrpama kako bi utvrdila razlog nedostatka sigurnosnih ažuriranja. Budući da je ova ranjivost ranjivost koja se obično koristi i može rezultirati značajnim pristupom, treba je odmah sanirati.
10. Dell EMC IDRAC 7/8 CGI Injection (CVE-2018-1207)
Verzije Dell EMC iDRAC7/iDRAC8 starije od 2.52.52.52 su ranjive na CVE-2018-1207, problem sa ubacivanjem komande. Ovo omogućava neautorizovanim napadačima da izvršavaju komande sa root privilegijama, što im daje potpunu kontrolu nad iDRAC uređajem.
Preporuke:
Ažurirajte firmware na najnoviju moguću verziju.
Uobičajeni uzroci kritičnih nalaza Pentest
Iako je svaki od ovih nalaza proizašao iz različitog podviga, postoje neke stvari koje mnogima od njih imaju zajedničke.
Osnovni uzroci mnogih najvažnijih kritičnih nalaza pentesta i dalje su slabosti konfiguracije i nedostaci zakrpanja.
Slabosti konfiguracije
Slabosti u konfiguraciji obično nastaju zbog nepropisno ojačanih usluga unutar sistema koje postavljaju administratori i sadrže probleme kao što su slabe/podrazumevane akreditive, nepotrebno izložene usluge ili prekomjerne korisničke dozvole. Iako se neke od slabosti konfiguracije mogu iskoristiti u ograničenim okolnostima, potencijalni uticaj uspješnog napada bit će relativno visok.
Otklanjanje nedostataka # Nedostaci u zakrpama i dalje se pokazuju kao veliki problem za organizacije i obično su uzrokovani razlozima kao što su kompatibilnost i, često, problemi konfiguracije unutar rješenja za upravljanje zakrpama.
Ova dva glavna problema sama po sebi dokazuju potrebu za čestim penetracijskim testiranjem. Dok je testiranje jednom godišnje bilo uobičajen pristup za testiranje penetracije, tekuće testiranje pruža značajnu količinu vrijednosti u identifikaciji značajnih praznina bliže kontekstu u realnom vremenu o tome kako sigurnosni rizici mogu dovesti do znatnih kompromisa. Na primjer, Tenableov Nessus skener bi mogao identificirati LLMNR, ali samo kao informativni.
Tromjesečno ili mjesečno testiranje penetracije mreže pomoću Vonahi-jevog vPenTest-a ne samo da ističe ove probleme, već i objašnjava njihov potencijalni uticaj.
Šta je to vPenTest?
vPenTest je vodeća, potpuno automatizirana platforma za testiranje penetracije u mrežu koja proaktivno pomaže u smanjenju sigurnosnih rizika i kršenja IT okruženja organizacije.
Uklanja probleme oko pronalaženja kvalifikovanog testera za penetraciju u mrežu i pruža kvalitetne rezultate koji saopštavaju koje su ranjivosti identifikovane, kakav rizik predstavljaju za organizaciju, zajedno sa načinom otklanjanja tih ranjivosti sa tehničkog i strateškog stanovišta.
Najbolje od svega, može pomoći u jačanju sposobnosti organizacije upravljanja usklađenošću.
vPenTest: ključne karakteristike i prednosti
- Sveobuhvatne procjene: Pokrenite interne i eksterne testove kako biste temeljito ispitali sve potencijalne ulazne tačke u vašoj mreži.
- Simulacija u stvarnom svijetu: Simulirajte cyber prijetnje iz stvarnog svijeta da biste stekli vrijedne uvide u svoje sigurnosno stanje.
- Pravovremeno i djelotvorno izvještavanje: Primajte detaljne, lako razumljive izvještaje sa ranjivostima, njihovim uticajima i preporučenim akcijama.
- Tekuće testiranje: Podesite mjesečne intervale testiranja kako biste osigurali proaktivne sigurnosne mjere koje odgovaraju.
- Efikasan odgovor na incidente: rano identificirajte ranjivosti kako biste se efikasno pripremili za potencijalne sigurnosne incidente.
- Usklađenost: Ispunite zahtjeve usklađenosti s propisima kao što su SOC2, PCI DSS, HIPAA, ISO 27001 i zahtjevi za cyber osiguranje.
Izvor:The Hacker News