Эксперты проекта Forescout Research Labs & JSOF Research Labs в рамках проекта Memoria обнародовали исследовательский отчет о девяти новых серьезных уязвимостях сетевого стека и протокола DNS, распространенного в реализациях на серверах, IoT-устройствах, промышленном и другом оборудовании.
Уязвимости объединены под группой NAME:WRECK и затрагивают алгоритмы обработки протокола DNS. Уязвимости используют слабости алгоритма сжатия сообщения в протоколе DNS. Поскольку пакеты ответов DNS часто включают одно и то же доменное имя или его часть несколько раз, RFC 1035 определяет механизм сжатия для уменьшения размера сообщений DNS (и используется также в DHCP). Использование инъекции в данном поле может привести к выполнению атаки отказа в обслуживании (DOS) или захвата контроля над уязвимым устройством (RCE атака):
- с помощью первой уязвимости CVE-2020-27009 злоумышленник может создать пакет ответа DNS с комбинацией недопустимых смещений указателя сжатия, что позволяет им записывать произвольные данные в чувствительные части памяти устройства, где затем вводится вредоносный код;
- вторая уязвимость, CVE2020-15795, позволяет злоумышленнику создать значимый код для инъекции путем злоупотребления очень большими записями доменного имени во вредоносный пакет;
- наконец, чтобы доставить вредоносный пакет к цели злоумышленник может обойти алгоритмическое сопоставление DNS запрос-ответ за счет использования CVE-2021-25667.
Наличие уязвимостей NAME:WRECK подтверждено для семи из TCP/IP-стеков, подвергнутых проверке в рамках Project Memoria: Treck TCP/IP, uIP, PicoTCP, FreeBSD, IPNet, NetX и Nucleus NET. Тогда как FNET, cycloneTCP, uC/TCP-IP, FreeRTOS+TCP, Zephyr and OpenThread оказались защищены от них внутренними алгоритмами.
Процедура атаки для всех TCP/IP стеков идентичная. Поэтому если данный инструмент появится в арсенале какой-либо APT-группировки, то вероятен сразу широкий масштаб покрытия устройств атакой. Все упомянутые сетевые стеки работают на миллиардах сетевых и IoT-устройств, поэтому возможная площадь атаки очень велика. Исследователи проекта Memoria предполагают, что хотя бы 1% из 10 млрд реализаций устройств уязвимы, поэтому проблема NAME:WRECK затрагивает как минимум 100 млн устройств, используемых в коммерции и розничной торговле, госсекторе, здравоохранении, промышленном производстве, индустрии развлечений.
Вариант сценария атаки может быть довольно простым (Рис. 1):
1. В нашем сценарии злоумышленник получает начальный доступ к сети организации (шаг 1 на рисунке), скомпрометировав устройство, отправляющее DNS-запросы серверу в Интернете. Компрометация может произойти, например, путем ответа злоумышленника на законный запрос DNS вредоносным пакетом. Этого можно достичь с помощью посредника (MiTM). Подобные атаки имели место через IoT устройства: в Лаборатории реактивного движения НАСА с использованием Raspberry Pi, взлом казино в Лас-Вегасе с использованием термометра, подключенного к Интернету, и нефтегазовую компанию, у которой были подключенные к Интернету велотренажеры, отправляющие корпоративные данные в Интернет.
2. После первоначального доступа злоумышленник может использовать скомпрометированную точку входа для настройки внутреннего DHCP-сервера и выполнить боковое перемещение (шаг 2), выполнив вредоносный код на уязвимых внутренних серверах FreeBSD, транслирующих DHCP-запросы.
3. Далее злоумышленник может использовать эти внутренние скомпрометированные серверы для сохранения в целевой сети или для эксфильтрации данных (шаг 3) через доступное в Интернет устройство IoT.
Рис.1
Проект Memoria не первый год публикует уязвимости TCP/IP стека, предыдущие работы описывали следующие семейства:
-
Ripple20 – семейство из 19 уязвимостей Treck TCP/IP, в том числе уязвимости DNS
-
AMNESIA:33 – 33 уязвимости open source TCP/IP стека, в том числе уязвимости DNS
-
NUMBER:JACK – 9 уязвимостей реализации ISN (Initial Sequence Number)
Сетевые стеки Nucleus NET and NetX часто используются для промышленных устройств (встроенные embedded devices, OT устройства), IoT устройствах, продуктах HTC, принтерах HP и т.д. Nucleus NET TCP/IP используется в IoT устройствах, промышленных решениях Siemens, Garmin и других. А FreeBSD является платформой для многих сетевых устройств, в том числе коммерческих межсетевых экранов. Все это – миллиарды устройств во всем мире во всех отраслях экономики.
Как защитить свою компанию от этой атаки:
- В первую очередь, обновить по мере возможности все сетевые и IoT устройства. Так как обновление TCP/IP стека выпущено многими разработчиками (FreeBSD, Nucleus NET и NetX), то для многих устройств уже доступны программные коррекции с данным исправлениями. Для поиска уязвимых устройств исследователи выпустили свободно распространяемый скрипт, использующий fingerprinting технологию. Проработка плана регулярного обновления всех сетевых активов.
- Так как обновление IoT устройств не всегда тривиальная задача, снизить риск возможно сетевой архитектурой: ограничения внешних связей, изоляция уязвимых устройств и внутренняя сегментация, настройка устройств для использования внутренних DNS-серверов и внимательное отслеживание внешнего DNS трафика.
- Отслеживание всего сетевого трафика, включая DNS, mDNS и DHCP, на аномалии и известные уязвимости. Аномальный и искаженный трафик следует блокировать или, по крайней мере, предупреждать операторов сети о своем присутствии. В качестве решений по мониторингу и анализу аномалий в трафике эксперты группы компаний Angara рекомендуют Flowmon (Network Behavior Analysis).
Актуальность сетевых устройств особенно в крупных компаниях не всегда удается корректно отслеживать и поддерживать. Группа компаний Angara предлагает услуги Аудита и Усиления сетевой инфраструктуры (Hardening). В рамках данной услуги эксперты проводят полную инвентаризацию и аудит физической и логической топологии сетевой инфраструктуры, систем сетевой безопасности, политик сетевой безопасности и оценку эффективности, надежности и масштабируемости ее работы. Обладая широкой экспертизой в решениях и опытом борьбы с кибер-атаками на компании разных отраслей экономики, специалисты группы компаний Angara предложат пути снижения рисков от возможных атак, рекомендации по развитию сетевой инфраструктуры и конкретные методы усиления уровня ее защищенности.
По всем вопросам по данным и другим услугам можно обратиться к менеджерам группы компаний Angara по e-mail info@angaratech.ru или телефону 8-495-269-26-06.
