Пять уязвимостей, опасных для удаленной работы



    Изображение: Unsplash

    При переводе сотрудников на дистанционный режим IT-подразделения допускают различные ошибки безопасности и открывают доступ к внутренней инфраструктуре для посторонних.

    Для начала перечислим уязвимости, которые лучше побыстрей устранить в своей инфраструктуре, чтобы в эти тяжелые месяцы не стать «easy meat» для операторов вирусов-шифровальщиков или финансово-ориентированных APT-группировок.

    1. С конца февраля быстро растет количество доступных узлов по протоколу удаленного рабочего стола (RDP). Наш мониторинг показывает, что в среднем 10% таких узлов уязвимы к BlueKeep (CVE-2019-0708).

    BlueKeep позволяет удаленно получить полный контроль над компьютером на базе операционных систем Windows 7, Windows Server 2008 и Windows Server 2008 R2 (все же давно перешли на Windows 10 и могут не опасаться?). Для атаки достаточно отправить специальный RDP-запрос к уязвимым службам удаленного рабочего стола (RDS), аутентификации при этом не требуется.

    Чем быстрее растет количество узлов с RDP-протоколом, тем больше среди них уязвимых машин (как правило). Например, на Урале число открытых узлов увеличилось на 21%, и в 17% систем есть уязвимость BlueKeep. Далее идут Сибирский (21% и 16% соответственно), Северо-Западный (19% и 13%), Южный (12% и 14%), Приволжский (8% и 18%), Дальневосточный (5% и 14%) и Центральный (4% и 11%) федеральные округа.

    Помимо установки патчей, для устранения уязвимости BlueKeep, а также схожих с ней CVE-2019-1181/1182 необходимо обеспечить удаленный доступ через шлюз. Для RDP подключений это Remote Desktop Gateway (RDG), для VPN — VPN Gateway. Удаленное подключение напрямую к рабочему месту использовать противопоказано.

    2. Новые версии Windows тоже имеют уязвимости, которые позволят злоумышленнику прогуляться по чужой сети, используя ошибки служб удаленных рабочих столов. Это CVE-2019-1181/1182, названные рядом экспертов BlueKeep-2. Рекомендуем проверить и при необходимости установить свежие патчи, даже если в вашей сети удаленный доступ организован средствами RDG.

    3. Бронзу в рейтинге самых опасных проблем безопасности мы отдаем уязвимости в ПО Citrix (CVE-2019-19781), выявленной экспертом Positive Technologies Михаилом Ключниковым и неофициально получившей имя Shitrix из-за задержек с обновлениями и наличия эксплойта. Спустя полтора месяца после публикации первых деталей уязвимость присутствовала примерно у 16 тысяч компаний. Ошибка крайне опасна и позволяет проникнуть в локальную сеть из интернета. Ее используют, в частности, операторы вирусов-вымогателей Ragnarok и REvil/Sodinokibi.

    4. Не следует забывать и о более старой уязвимости в протоколе удаленного рабочего стола CVE-2012-0002 (MS11-065), которая до сих пор встречается на сетевых периметрах. Эта брешь, обнаруженная в 2012 году, запомнилась утечкой PoC-кода со стороны кого-то из партнеров Microsoft по MAAP и обвинениями якобы сотрудника ГРУ в попытке купить для нее эксплойт.

    5. Наконец, стоит обратить внимание на ошибку в механизме десериализации языка программирования PHP 7 (CVE-2019-11043). Она также позволяет неавторизованному пользователю выполнять произвольный код. Под угрозой серверы nginx с включенным FPM (пакет для обработки сценариев на языке PHP). Брешь стала причиной заражения пользователей облачного хранилища NextCloud шифровальщиком NextCry.

    Автоматизировать процесс патчинга корпоративных систем помогут системы централизованного управления обновлениями и патчами, а проверить, что уязвимости отсутствуют, позволят средства анализа защищенности.

    Установите обновления на ПК сотрудников


    Нельзя не напомнить, что со многих домашних ПК, на которые пересели офисные сотрудники, только недавно стерли пыль, и они являются проблемой с точки зрения ИБ. В идеальном мире лучше не предоставлять доступ для личных компьютеров, а выделять проверенные и подготовленные корпоративные системы. Но сейчас ноутбуков на всех может не хватить. Поэтому необходимо директивно организовать масштабный процесс обновлений домашних ПК для удаленной работы, чтобы они не стали точкой входа для злоумышленников.

    В первую очередь, важно обновить операционные системы, офисные продукты и антивирусное ПО. Кроме того, надо предупредить сотрудников об опасности использования устаревших браузеров, таких как неподдерживаемые версии Internet Explorer. Перед обновлениями домашних компьютеров стоит создать точку восстановления или сделать резервную копию системы, чтобы откатиться в случае любых проблем, например очередного неудачного обновления Windows 10.

    В отношении парольной политики рекомендуем при удаленном подключении использовать пароли длиной не менее 12 символов для непривилегированных учетных записей и не менее 15 символов для административных. Используйте одновременно разные типы символов (малые и заглавные буквы, спецсимволы, цифры) и исключите легко угадываемые пароли. По нашим данным, в 2019 году 48% всех подобранных паролей были составлены из комбинации слова, обозначающего время года либо месяц, и четырех цифр, обозначающих год (Сентябрь2019 или в английской раскладке клавиатуры Ctynz,hm2019). Такие пароли формально соответствуют парольной политике, но подбираются по словарям за считанные минуты.

    В целом, чехарда в средствах удаленного управления в нынешних условиях вредна: наш совет — выбрать одну программу и разграничить права локальных пользователей. Будет правильно, если на некоторых удаленных компьютерах с помощью, например, Windows AppLocker пропишут списки разрешенного ПО.

    Следует также сказать о возможных проблемах, связанных с организацией VPN-доступа. IT-специалисты могут не успеть в короткие сроки перенастроить оборудование и обеспечить всех пользователей VPN необходимым именно им доступом, не нарушая правила разграничения. В результате для обеспечения непрерывности бизнеса IT-специалистам придется выбрать наиболее быстрый и простой вариант — открыть доступ в требуемую подсеть не одному сотруднику, а сразу всем пользователям VPN. Такой подход существенно снижает безопасность и открывает возможности не только для атак внешнего злоумышленника (если он сможет проникнуть), но и существенно повышает риск атаки со стороны инсайдера. Рекомендуем заранее продумать план действий для сохранения сегментации сетей и выделить необходимое число VPN-пулов.

    Социальная инженерия уже вовсю использует коронавирусные сюжеты, и мы рекомендуем ознакомить сотрудников с новыми темами фишинговых атак. APT-группировки, такие как Gamaredon и Higaisa, эксплуатируют истории, связанные с переносами, запретами, отменами, удаленной работой и атакуют личные электронные адреса сотрудников. Фишинговая рассылка была проведена неизвестными злоумышленниками и в адрес нашей компании: преступники пытались украсть учетные данные. Сотрудники должны понимать серьезность угрозы и быть готовыми отличить легитимную почту от фишинга. Для этого мы рекомендуем распространить краткие наглядные обучающие материалы и памятки на тему информационной безопасности и социальной инженерии. Выявить признаки фишинга поможет динамическая проверка файлов в корпоративной почте с помощью песочниц.

    Необходимо также обратить внимание на системы электронного документооборота и ERP. Сейчас активно выводятся в открытый доступ бизнес-приложения, которые ранее были доступны только изнутри и не анализировались на предмет уязвимостей. При этом уровень защищенности тех, что анализировались, был невысок. Для защиты от эксплуатации веб-угроз в критически-важных приложениях рекомендуем использовать межсетевые экраны уровня приложений (web application firewall).

    Доступность и работоспособность в эти недели занимает ключевую роль, и многим компаниям будет не до устранения уязвимостей на периметре и тонкого тюнинга процессов ИБ, поэтому в некоторых случаях придется ориентироваться на выявление нарушителей, уже попавших в инфраструктуру. В таких случаях могут применяться системы глубокого анализа сетевого трафика (NTA), предназначенные для обнаружения целевых атак (в реальном времени и в сохраненных копиях трафика) и уменьшения времени скрытного присутствия атакующих.
    Positive Technologies
    Компания

    Комментарии 9

      +1

      Удалённая работа. Уязвимость №1: Windows.

        0
        Не зависит от операционной системы, но так как в зоне риска преимущественно предприятия мелкого и среднего размера, то логично предположить что у них будет преимущественно Windows based сеть с часто не развитой ИБ по всем направлениям.
        К сожалению, подход к ОйТи в данной категории до сих пор остаётся на уровне упоминающемся в множестве анекдотов и страшных историй, даже пострадавшие от «пети» и его клонов, не вынесли урока.

        Я отслеживаю небольшой пул адресов (местные провы, ~24k адресов), с того момента как начали говорить о карантине.
        1. «голых задниц» RDP — (24) 236
        2. SMB — (2) 17
        3. VPN — (72) 124 (преимущественно l2tp — mikrotik)
        4. SQL — (4) 7

        вот список того что приросло (в скобках ДО) и продолжает почуток расти.
        ~20% RDP и SMB (зачем вообще его шарят) уязвимы (предположительно, атаки не осуществлял, могут быть и ложно положительные).
        Разослал провайдерам список IP с описанием проблемы и просьбой передать клиентам информацию.
        Сделали они это или нет неизвестно, но ситуация за две недели никак не поменялась и только усугубляется.
          0

          Ну, условно, если у меня ssh с авторизацией по ключам голой задницей в интернет торчит, то… подзасрут логи брутфорсом, да.


          А вот RDP — это уж прям "голая задница". Хотя, казалось бы, в чём разница?

            0
            Условно, в Linux системах более чем достаточно дырявого софта, хотя дырявость прежде всего определяется его конфигурацией.
            ptsecurity свои постом целили в конкретную категорию и с упором на их основные «болячки».

            А если уж разворачивать обсуждение более широко то можно уйти и в девайсы видео наблюдения, коих нынче больше пол тыщи у меня в логах, а это вообще считай прямая дорога в локальную сеть фирмочек
            0
            RDP, SMB, SQL понятно. Но что не так с L2TP и конкретно с Mikrotik?

            А зачем шарят SMB я сейчас расскажу. Некоторые ОйТи (да, именно так) в текущей ситуации удалёнку реализовали буквально следующим образом — ну ка все дружно берём подмышку свои системники с мониторами с идём с ними домой. Если там были какие-то сетевые диски, то очевидно подключат их через SMB на белом IP. При этом факт наличия сетевых дисков это даже прогресс. Это значит, что хотя бы что-то лежит на каком-то сервере и возможно даже бэкапится. А не лежит локально на компе до первого шифровальщика или смерти диска.
          +1
          Удаленное подключение напрямую к рабочему месту использовать противопоказано.

          Мне вот интересно, почему в RDP постоянно находят дыры?

          Что — сам протокол такой сложный? кривой?

          Вот SSH — казалось бы некоторый аналог. У SSH бывает устаревают шифры, бывает находят путь повысить привилегии после логина, но что-то не припомню уязвимостей уровня «не нужен даже пароль».

          Что не так с RDP?
            0
            AFAIK проблемы не в RDP, а в реализации конкретных серверов/клиентов. А если говорить конкретно про последние уязвимости в сервере от MS, то всё ещё усугубляется нежеланием почему-то настраивать его безопасным образом (зачем-то отключают NLA).
              0
              Ещё то, что реализация от MS закрыта, OpenSSH вылизан сообществом.
              Если взять SSH в котором покопались шаловливые ручки различных вендоров (IoT, роутеры и т.п.) то там тоже не всё гладко.
                0
                Когда мне говорят слова про вылизанность сообществом я всегда вспоминаю Heartbleed. Так что никто ни от чего не застрахован, увы.

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое