Jakie podatności znajdują najczęściej pentesterzy?

Po przeprowadzeniu ponad 10 000 zautomatyzowanych testów penetracyjnych sieci wewnętrznych w ciągu zeszłego roku firma vPenTest opisała w formie zbiorczego raportu niepokojącą rzeczywistość.

Organizacje często zakładają, że zapory sieciowe, ochrona punktów końcowych i SIEM-y wystarczą, aby zapewnić im bezpieczeństwo. Pytanie, jak skuteczne będą te systemy, gdy zostaną wystawione na próbę. Najczęściej problemem nie są złożone ataki typu zero-day, tylko błędne konfiguracje, słabe hasła i niezałatane dziury, które atakujący rutynowo wykorzystują, by uzyskać dostęp, poruszać się bocznie i eskalować uprawnienia w sieciach. Oto, jak rozkładają się te zagrożenia według raportu vPenTest:

• 50% wynika z błędnych konfiguracji – ustawienia domyślne, słabe kontrole dostępu i przeoczone zasady bezpieczeństwa.
• 30% wynika z brakujących poprawek – niezałatanych systemów, które pozostawiają otwarte drzwi dla znanych exploitów.
• 20% obejmuje słabe hasła – usługi działające bez odpowiedniego uwierzytelnienia, co ułatwia atakującym dostęp.

Poniżej omówimy kilka najbardziej krytycznych i zarazem powszechnych zagrożeń bezpieczeństwa sieci wewnętrznej, które wymieniło vPenTest. Omówimy, czym są i dlaczego są niebezpieczne.

1. Microsoft Windows RCE (BlueKeep)

BlueKeep to stosunkowo nowa i cały czas aktualna podatność, umożliwiająca zdalne wykonanie kodu w protokole pulpitu zdalnego (RDP) Microsoft, zidentyfikowana jako CVE-2019-0708.

Wykorzystanie luki BlueKeep umożliwia atakującemu przejęcie pełnej kontroli nad podatnymi systemami. Taki poziom dostępu może ułatwić dalsze ataki w infrastrukturze organizacji, w tym potencjalne wyodrębnienie poufnych danych, takich jak hasła czy hashe. Ponadto atakujący może poruszać się bocznie w sieci, narażając dodatkowe systemy i usługi. Charakter luki oznacza, że ​​do przeprowadzenia ataku nie są wymagane żadne specjalne uprawnienia ani uwierzytelniony dostęp, co upraszcza proces i zwiększa potencjalny wpływ na organizację.

Podatność została wykryta w 4,4% analizowanych przez vPenTest w zeszłym roku sieci.

2. Microsoft Windows RCE (EternalBlue)

EternalBlue to bardzo znana podatność umożliwiająca zdalne wykonanie kodu w protokole Microsoft Server Message Block (SMBv1). Pozwala ona atakującemu na wysyłanie specjalnie spreparowanych pakietów do podatnego systemu, dając możliwość zdobycia nieautoryzowanego dostępu i wykonania dowolnego kodu z uprawnieniami na poziomie systemu.

Wykorzystanie luki EternalBlue umożliwia atakującemu uzyskanie pełnego dostępu administracyjnego do dotkniętych nią systemów. Dostęp ten może ułatwić dalsze złośliwe działania w sieci organizacji, w tym wyodrębnianie haseł w postaci zwykłego tekstu, a także przemieszczanie się do innych systemów. Podatność ta nie wymaga od atakującego eskalacji uprawnień w naruszonym systemie, co oznacza, że ​​może on rozpocząć rozpoznanie i dalsze ataki bez żadnego dodatkowego wysiłku czy wywoływania alarmów.

Podatność została wykryta w 4,5% analizowanych przez vPenTest sieci.

3. Ominięcie uwierzytelnienia IPMI

Intelligent Platform Management Interface (IPMI) to krytyczne rozwiązanie sprzętowe wykorzystywane przez administratorów sieci do scentralizowanego zarządzania serwerami. Podczas konfiguracji maszyn wyposażonych w IPMI mogą istnieć pewne luki w zabezpieczeniach, umożliwiające atakującym zdalne ominięcie mechanizmu uwierzytelniania. Powoduje to wyodrębnienie skrótów haseł, a w przypadkach, gdy stosowane są domyślne lub słabe algorytmy haszujące, atakujący mogą potencjalnie odzyskać hasła w postaci jawnego tekstu.

Podatność została wykryta w 15,7% analizowanych przez vPenTest sieci.

4. Przestarzałe systemy Microsoft Windows

Stare wersje systemów operacyjnych Microsoft Windows stanowią poważne zagrożenie dla bezpieczeństwa, ponieważ nie otrzymują już od producenta krytycznych aktualizacji. W takich systemach może brakować niezbędnych poprawek bezpieczeństwa, które usuwają znane dziury. Czyni je to bardziej podatnymi na wykorzystanie przez atakujących. Ponadto brak aktualizacji może skutkować problemami ze zgodnością z nowoczesnymi narzędziami i oprogramowaniem zabezpieczającym, co jeszcze bardziej osłabia obronę systemu. Znane podatności w przestarzałych systemach mogą być często wykorzystywane w atakach takich jak dystrybucja złośliwego oprogramowania, eksfiltracja danych czy nieautoryzowany dostęp.

Podatność została wykryta w 15,7% analizowanych przez vPenTest sieci.

5. Spoofing LLMNR (Link-Local Multicast Name Resolution)

Link-Local Multicast Name Resolution (LLMNR) to protokół zaprojektowany do rozwiązywania nazw w wewnętrznych środowiskach sieciowych, gdy tradycyjne usługi systemu nazw domen (DNS) są niedostępne lub nieskuteczne. LLMNR działa jako mechanizm zapasowy, ułatwiając rozwiązywanie nazw DNS za pomocą zapytań multicast. Proces rozwiązywania przebiega następująco:

• Najpierw system wysyła zapytanie do swojego lokalnego pliku hosta, aby znaleźć odpowiadający mu adres IP dla określonej nazwy DNS.
• Jeśli nie istnieje żaden wpis lokalny, system inicjuje zapytanie DNS skierowane do skonfigurowanych serwerów DNS w celu rozwiązania nazwy.
• Jeśli serwery DNS nie są w stanie zapewnić rozwiązania, system rozgłasza zapytanie LLMNR w sieci lokalnej, szukając odpowiedzi od innych hostów.

Rozgłaszanie multicast wprowadza dziury w zabezpieczeniach, ponieważ każdy aktywny system może odpowiedzieć na zapytania, potencjalnie wprowadzając w błąd system żądający.

Rozgłoszeniowy charakter zapytań LLMNR pozwala każdemu systemowi w sieci lokalnej odpowiedzieć własnym adresem IP w odpowiedzi na żądanie rozwiązania nazwy. Złośliwi aktorzy mogą to wykorzystać, wysyłając spreparowane odpowiedzi zawierające adres systemu atakującego. Ta opcja otwiera możliwości poważnych naruszeń bezpieczeństwa, szczególnie jeśli zapytanie jest powiązane z poufnymi usługami, takimi jak SMB, MSSQL lub HTTP. Udane przekierowanie może ułatwić przechwycenie poufnych informacji, w tym jawnego tekstu i haszowanych danych logowania do konta.

Podatność została wykryta w 65,5% analizowanych przez vPenTest w zeszłym roku sieci.

6. Spoofing mDNS (Multicast DNS)

Multicast DNS (mDNS) służy jako protokół rozpoznawania nazw dla sieci lokalnych, ułatwiając rozpoznawanie nazw domen, gdy dedykowany serwer DNS jest niedostępny.

Proces rozpoznawania odbywa się etapami:

• Najpierw system konsultuje swój lokalny plik hosta w celu znalezienia odpowiednich mapowań nazw DNS/adresów IP.
• W przypadku braku skonfigurowanego serwera DNS system ucieka się do mDNS, rozgłaszając zapytanie IP multicast żądające identyfikacji od hosta odpowiadającego nazwie DNS. To zachowanie protokołu ujawnia potencjalną lukę, którą mogą wykorzystać złośliwi aktorzy, bowiem umożliwia im podszywanie się pod legalne systemy poprzez odpowiadanie na te zapytania.

Na zapytania mDNS, które są przesyłane przez lokalną podsieć, można odpowiedzieć za pomocą dowolnego urządzenia zdolnego do ich odbioru. Podatność umożliwia atakującemu odpowiedź za pomocą adresu IP swojego systemu, potencjalnie wprowadzając w błąd system wysyłający zapytanie. Takie wykorzystanie może prowadzić do przechwycenia poufnych informacji, w tym niezaszyfrowanych i zaszyfrowanych danych uwierzytelniających, w zależności od konkretnej usługi, do której ofiara próbuje uzyskać dostęp (np. SMB, MSSQL, HTTP).

Podatność została wykryta w 78,2% analizowanych przez vPenTest w zeszłym roku sieci.

Podsumowanie

Po przeanalizowaniu dziesiątek tysięcy ocen sieci jedno jest jasne – wiele luk w zabezpieczeniach nie jest wynikiem zaawansowanych technik hakerskich, ale prostych, możliwych do uniknięcia błędów. Słabe hasła, zapomniane błędne konfiguracje i niezałatane systemy stwarzają okazje dla atakujących. To nie są wyrafinowane podatności, które zdarzają się bardzo rzadko w środowisku naturalnym. To powtarzające się problemy, które pojawiają się w sieciach każdej wielkości, rok po roku.

The post Jakie podatności znajdują najczęściej pentesterzy? appeared first on Kapitan Hack.