8.3.21

Ranjivost koju treba shvatiti ozbiljno

Prošlo je šest dana od objave podataka o veoma nezgodnoj ranjivosti na Microsoft Exchange serveru, koja zahvaća sve novije verzije ovog servera konfiguriranog tako omogućuje OWA pristup, tj. tako da omogućuju pristup elektroničkoj pošti preko Internet preglednika. Nadam se da su svi koji su takav servis omogućili za pristup iz javnog Internet prostora već primijenili popravak koji je Microsoft objavio 2. ožujka, istog dana kada je i tvrtka Volexity objavila informaciju o ovom nedostatku. Naime, tvrtka Volexity je još od početka siječnja uočila anomalije u korištenju servisa elektroničke pošte u korisnika kod kojih je upotrebi Exchange – velika količina poruka bila je eksfiltrirana na adrese koje nisu povezane s poslovanjem korisnika. Daljnja analiza problema je ukazala na prisutnost tzv. server-side request forgery (SSRF) ranjivosti koja je omogućila izvođenje proizvoljnog koda. Ukratko, mailbox odabranih osoba na mail serveru žrtve bio je kopiran na vanjske servere pod kontrolom napadača. Napadač je morao znati, ovisno od konfiguracije Exchange servera, mail adresu ciljane žrtve ili njegov Active Directory račun, što naravno nije nimalo nepremostiv zadatak. 

No, to nije bilo sve. Ujedno su bile iskorištene i neke druge do tada nepoznate ranjivosti koje su omogućile daljnju eskalaciju inicijalnog proboja. U toj drugoj fazi napadač uspijeva doći u posjed dodatnih informacija o radu Active Directory sustava (u najgorem scenariju, to su podaci o domenskim računima i podacima za autentikaciju). Također, napadač uspijeva kreirati „webshell“ okolinu na Exchange serveru, tj. specifični „backdoor“ program koji mu omogućuje izvođenje proizvoljnih programa na kompromitiranom Exchange serveru. U kombinaciji s podacima s AD sustava, to predstavlja idealnu podlogu za daljnje lateralno kretanje po mreži žrtve.

Ovaj scenarij zvuči izuzetno jednostavan, što se i pokazalo u praksi. Naravno, značajan trud je uložen u otkrivanje ranjivosti i u razvoj exploita, no operativna provedba je bila praktički automatizirana i zato su forenzičke analize provedene nakon objave ranjivosti pokazale oko 30.000 žrtava (to su zadnje informacije dostupne u trenutku pisanja ovog teksta). Ova brojka obuhvaća one servere kod kojih su pronađeni tragovi djelovanja exploita, tek trebamo saznati koliko je korisnika zapravo bilo izloženo i krajnjem djelovanju, tj. krađi mail poruka ili daljnjim aktivnostima napadača na internoj mreži.

Iza napada, kako je objavljeno, stoji kineska cyber-obavještajna grupa Hafnium. Ova se grupa do sada uglavnom bavila preuzimanjem podataka s različitih istraživačkih institucija, sveučilišnih ustanova i instituta raznih profila. Također, registrirano je i djelovanje nekih drugih kineskih grupa za koje nije utvrđeno jesu li u organizacijski ili poslovno povezane. Identificiran je jako veliki broj žrtava među institucijama i agencijama američke vlade, no i među brojnim tvrtkama.

Donekle olakšavajuću okolnost predstavlja činjenica da su mnoge velike korporacije uveliko migrirale na cloud verziju Exchange-a, tj. na mail servis koji pruža Microsoft, a koji nije zahvaćen recentnom ranjivosti koju ovdje opisujem.

No, mjesta za opuštanje nema, čak i ako ste primijenili popravak. Obavezno morate provjeriti jeste li možda prethodno ipak bili kompromitirani. Prema veoma detaljnom upozorenju i uputama za forenzičku analizu koje je uputila važna agencija američke vlade - Cybersecurity and Infrastructure Security Agency (CISA), prava bi se analiza morala temeljiti na pouzdanom forenzičkom postupku i trijaži podataka o incidentu kroz koju bi se trebali pretražiti točke interesa te verificirati prisutnost/odsutnost karakterističnih indikatora kompromisa. Tek jednostavan uvid u sadržaj IIS foldera i vizualno pretraživanje karakterističnih podataka nije dovoljno. Također, i Microsoft je objavio skripte za otkrivanje dijela kompromitiranih podataka.

Bojim se da ovime priča oko Exchange problema nije ni približno gotova, što ponajviše temeljim na činjenici da forenzičke istrage još nisu završene te da prave informacije o opsegu ovo napada tek slijede. Nekoliko je i suštinskih razloga koji idu u prilog ovoj tvrdnji:

  • Tek trebamo saznati kada jesu li ovi napadi registrirani i prije siječnja 2021. i jesu li do sada možda iza napada stajale i neke druge cyber grupe koje su birale puno diskretniju taktiku napada.
  • Iako se trenutno spominje 30.000 žrtava, radi se o uglavnom američkim žrtvama. Tek moramo saznati koliko su zahvaćene tvrtke/organizacije iz drugih dijelova svijeta.
  • Ranjivost je postala dostupna javnosti prošlog tjedna. Iako su se pojavili Proof-of-Concept verzije napada, novi maliciozni „exploit-i“ u trenutku pisanja ovog teksta još nisu dostupni, no samo je pitanje vremena kada će se pojaviti.
  • Ranjivosti koje opisujemo u ovom tekstu imaju potencijal za iskorištavanje u slijednom lancu događaja na automatizirani način te mogu poslužiti za razvoj scenarija ransomware napada.
  • Tek trebamo saznati kolika je dinamika primjene popravaka, no ako za ilustraciju uzmemo neke druge slučajeve iz bliže povijesti, poznato je da neke organizacije mogu biti veoma lijene u primjeni popravaka (vidi primjer tvrtke Equifax i epohalno neuspješan popravak Struts ranjivosti).

Ukoliko vam bude zatrebala pomoć oko forenzičke analize stanja potencijalnog kompromitiranog servera, pogledajte našu ponudu forenzičkih usluga i javite nam se.


2.3.21

Model zrelosti upravljanja računalnim ranjivostima

 U tekstu koji sam objavio prije, sada već, nešto više od dvije godine (Digitalna transformacija procesa upravljanja ranjivostima) pisao sam o potrebi promjene paradigme procesa upravljanja računalnim ranjivostima. Trend napuštanja tehnike mrežnog skeniranja kao najčešće metode otkrivanja ranjivosti bio je već tada izražen, a razvoj tehnologije i upravljačkih procesa koji su slijedili potvrdili su najave iz teksta.

Dapače, stvari su krenule i korak dalje. Ne samo da su senzori za detekciju ranjivosti – namjenski servisi koji se izvode na samim računalima, postali izvor jednako relevantan kao i rezultati mrežnih skeniranja, a sve češće i značajniji, nego su sustavi za prikupljanje i analizu ranjivosti prerasli ulogu daljinskog upravljača za pokretanje skenova i alata za generiranje izvještaja. 

Kao ilustraciju dajem primjer sustava Qualys, koji je postao bogata analitička platforma u kojoj se bogati telemetrijski podaci sa senzora različitih profila i izvora slijevaju u svojevrsni „data lake“. Normalizirani, obogaćeni i indeksirani podaci o ranjivostima pružaju svojim korisnicima neposrednu i djelotvornu informaciju, bez obzira radi li se o izvještavanju odgovornih osoba, alarmiranju sigurnosnih timova ili pokretanju nužnih remedijacijskih aktivnosti.

Mogućnosti koje pružaju nove funkcije sustava Qualys dobile su nedavno i dobrog pratitelja. Američka organizacija SANS, čije djelovanje ne treba posebno predstavljati kolegama koji rade na području informacijske sigurnosti, objavila je sredinom prošle godine svoj edukativni  poster „CISO Mind Map“ u koje središnje mjesto „Vulnerability Management Maturity Model“. To je detaljna tablica u kojoj su glavne faze procesa upravljanja računalnim ranjivostima opisane s obzirom na stupanj realizacije, pri čemu je zrelost programa klasificirana u pet razina – od „Initial“ do „Optimizing“.  Na svoje će doći ne samo ljubitelji „Maturity Model“ klasifikacija, nego i svako od vas koji pokušava uvesti program upravljanja ranjivostima u svoju organizaciju.

U nastavku prilažem samu tablicu da dokument možete preuzeti na ovom mjestu:




Dokument koji možete preuzeti je tek poster na kojem tablica s „Vulnerability Management Maturity“ modelom zauzima vidljivo mjesto, no svakako nedostaju još neke dodatne upute (ovo nije zamjerka SANS-u, već naprosto činjenica da je dokument podsjetnik ili ako hoćete poziv na pohađanje seminara koje SANS održava na temu procesa upravljanja informacijskom sigurnosti). Stoga bi tu još trebalo dodati da ranjivosti na koje se model odnosi nisu samo bugovi u operativnom sustavu ili u gotovim programskim paketima, već i ranjivosti na aplikativnim sustavima te konfiguracijske manjkavosti. 

Kako krenuti u primjenu ovog modela? Za početak identificirajte gdje se zapravo nalazite unutar ovog modela. Nije isključeno da će se vaša razina zrelosti razlikovati u ovisnosti od faza procesa (imamo pet faza: Prepare, Identify, Analyze, Communicate i Treat). Budite objektivni i realni. Radi te za vlastiti napredak a ne za regulatorno ili revizijsko izvješće. Kada utvrdite svoju razinu zrelosti, postavite cilj kojem želite težiti. Neka to bude u koracima koje realno možete i napraviti.

Kada krenete u implementaciju onda ćete vidjeti da se izvješća, preporuke, dojave i odluke na bogatoj bazi podataka i na vašoj sposobnosti da iz takve baze izvučete sve djelotvorne informacije i polazišta za daljnje akcije. Dobro, ne mislim baš na vašu osobnu sposobnost, već na svojstva sustava unutar kojeg su prikupljeni podaci o ranjivostima. A tu sada dolazimo na funkcije sustava Qualys koji će vam omogućiti unaprjeđenje procesa upravljanja ranjivostima do najviših razina zrelosti predviđenih ovim modelom.