Обзор рынка платформ реагирования на инциденты (IRP) в России

Эксперты проекта Forescout Research Labs & JSOF Research Labs в рамках проекта Memoria обнародовали исследовательский отчет о девяти новых серьезных уязвимостях сетевого стека и протокола DNS, распространенного в реализациях на серверах, IoT-устройствах, промышленном и другом оборудовании.

Уязвимости объединены под группой NAME:WRECK и затрагивают алгоритмы обработки протокола DNS. Уязвимости используют слабости алгоритма сжатия сообщения в протоколе DNS. Поскольку пакеты ответов DNS часто включают одно и то же доменное имя или его часть несколько раз, RFC 1035 определяет механизм сжатия для уменьшения размера сообщений DNS (и используется также в DHCP). Использование инъекции в данном поле может привести к выполнению атаки отказа в обслуживании (DOS) или захвата контроля над уязвимым устройством (RCE атака):

  • с помощью первой уязвимости CVE-2020-27009 злоумышленник может создать пакет ответа DNS с комбинацией недопустимых смещений указателя сжатия, что позволяет им записывать произвольные данные в чувствительные части памяти устройства, где затем вводится вредоносный код;
  • вторая уязвимость, CVE2020-15795, позволяет злоумышленнику создать значимый код для инъекции путем злоупотребления очень большими записями доменного имени во вредоносный пакет;
  • наконец, чтобы доставить вредоносный пакет к цели злоумышленник может обойти алгоритмическое сопоставление DNS запрос-ответ за счет использования CVE-2021-25667.

Наличие уязвимостей NAME:WRECK подтверждено для семи из TCP/IP-стеков, подвергнутых проверке в рамках Project Memoria: Treck TCP/IP, uIP, PicoTCP, FreeBSD, IPNet, NetX и Nucleus NET. Тогда как FNET, cycloneTCP, uC/TCP-IP, FreeRTOS+TCP, Zephyr and OpenThread оказались защищены от них внутренними алгоритмами.

Процедура атаки для всех TCP/IP стеков идентичная. Поэтому если данный инструмент появится в арсенале какой-либо APT-группировки, то вероятен сразу широкий масштаб покрытия устройств атакой. Все упомянутые сетевые стеки работают на миллиардах сетевых и IoT-устройств, поэтому возможная площадь атаки очень велика. Исследователи проекта Memoria предполагают, что хотя бы 1% из 10 млрд реализаций устройств уязвимы, поэтому проблема NAME:WRECK затрагивает как минимум 100 млн устройств, используемых в коммерции и розничной торговле, госсекторе, здравоохранении, промышленном производстве, индустрии развлечений.

Вариант сценария атаки может быть довольно простым (Рис. 1):

1. В нашем сценарии злоумышленник получает начальный доступ к сети организации (шаг 1 на рисунке), скомпрометировав устройство, отправляющее DNS-запросы серверу в Интернете. Компрометация может произойти, например, путем ответа злоумышленника на законный запрос DNS вредоносным пакетом. Этого можно достичь с помощью посредника (MiTM). Подобные атаки имели место через IoT устройства: в Лаборатории реактивного движения НАСА с использованием Raspberry Pi, взлом казино в Лас-Вегасе с использованием термометра, подключенного к Интернету, и нефтегазовую компанию, у которой были подключенные к Интернету велотренажеры, отправляющие корпоративные данные в Интернет.

2. После первоначального доступа злоумышленник может использовать скомпрометированную точку входа для настройки внутреннего DHCP-сервера и выполнить боковое перемещение (шаг 2), выполнив вредоносный код на уязвимых внутренних серверах FreeBSD, транслирующих DHCP-запросы.

3. Далее злоумышленник может использовать эти внутренние скомпрометированные серверы для сохранения в целевой сети или для эксфильтрации данных (шаг 3) через доступное в Интернет устройство IoT.

Name-Wreck.JPG

   Рис.1

Проект Memoria не первый год публикует уязвимости TCP/IP стека, предыдущие работы описывали следующие семейства:

  • Ripple20 – семейство из 19 уязвимостей Treck TCP/IP, в том числе уязвимости DNS

  • AMNESIA:33 – 33 уязвимости open source TCP/IP стека, в том числе уязвимости DNS

  • NUMBER:JACK – 9 уязвимостей реализации ISN (Initial Sequence Number)

Сетевые стеки Nucleus NET and NetX часто используются для промышленных устройств (встроенные embedded devices, OT устройства), IoT устройствах, продуктах HTC, принтерах HP и т.д. Nucleus NET TCP/IP используется в IoT устройствах, промышленных решениях Siemens, Garmin и других. А FreeBSD является платформой для многих сетевых устройств, в том числе коммерческих межсетевых экранов. Все это – миллиарды устройств во всем мире во всех отраслях экономики.

Как защитить свою компанию от этой атаки:

  • В первую очередь, обновить по мере возможности все сетевые и IoT устройства. Так как обновление TCP/IP стека выпущено многими разработчиками (FreeBSD, Nucleus NET и NetX), то для многих устройств уже доступны программные коррекции с данным исправлениями. Для поиска уязвимых устройств исследователи выпустили свободно распространяемый скрипт, использующий fingerprinting технологию. Проработка плана регулярного обновления всех сетевых активов.
  • Так как обновление IoT устройств не всегда тривиальная задача, снизить риск возможно сетевой архитектурой: ограничения внешних связей, изоляция уязвимых устройств и внутренняя сегментация, настройка устройств для использования внутренних DNS-серверов и внимательное отслеживание внешнего DNS трафика.
  • Отслеживание всего сетевого трафика, включая DNS, mDNS и DHCP, на аномалии и известные уязвимости. Аномальный и искаженный трафик следует блокировать или, по крайней мере, предупреждать операторов сети о своем присутствии. В качестве решений по мониторингу и анализу аномалий в трафике эксперты группы компаний Angara рекомендуют Flowmon (Network Behavior Analysis).

Актуальность сетевых устройств особенно в крупных компаниях не всегда удается корректно отслеживать и поддерживать. Группа компаний Angara предлагает услуги Аудита и Усиления сетевой инфраструктуры (Hardening). В рамках данной услуги эксперты проводят полную инвентаризацию и аудит физической и логической топологии сетевой инфраструктуры, систем сетевой безопасности, политик сетевой безопасности и оценку эффективности, надежности и масштабируемости ее работы. Обладая широкой экспертизой в решениях и опытом борьбы с кибер-атаками на компании разных отраслей экономики, специалисты группы компаний Angara предложат пути снижения рисков от возможных атак, рекомендации по развитию сетевой инфраструктуры и конкретные методы усиления уровня ее защищенности.

По всем вопросам по данным и другим услугам можно обратиться к менеджерам группы компаний Angara по e-mail info@angaratech.ru или телефону 8-495-269-26-06.

Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах