Digital Security предупреждает о новом виде атак на корпоративные системы

Digital Security предупреждает о новом виде атак на корпоративные системы

По итогам выступлений на BlackHat USA 2012 и RSA China 2012Александр Поляков, технический директор Digital Security, представил обзор новой угрозы для критичных бизнес-приложений – SSRF (Server Side Request Forgery). «Представьте, что у вас есть две системы (назовём их А и Б), которые доверяют друг другу, то есть соединение между ними не блокируется межсетевым экраном, так как между ними необходимо передавать некие данные.

Система А – это, например, корпоративный портал, который обычно доступен из небезопасной сети, такой как интернет. А другая система – это, скажем, ERP, и она недоступна из интернета, но доверяет корпоративному порталу. Именно такова структура сети большинства компаний, - рассказывает Поляков. – SSRF-атака (Server Side Request Forgery, или межсерверная подделка запросов) заключается в том, чтобы найти какой-нибудь уязвимый сервис в системе А, который сможет переслать зловредный запрос во внутреннюю сеть и таким образом перенаправить атаку в систему Б. Так злоумышленник сможет, обойдя межсетевые экраны и системы обнаружения вторжений, напрямую эксплуатировать уязвимости в якобы защищенных системах».

По его словам, традиционные атаки направлены непосредственно на целевую систему и относительно легко обнаруживаются IDS-системами или блокируются межсетевыми экранами. SSRF – пример более сложной атаки, которую труднее предотвратить, так как атака осуществляется не напрямую, а через посредника, и эксплойт передаётся в преобразованном виде, что затрудняет его обнаружение, передает safe.cnews.ru.

SSRF, несомненно, представляет собой новую опасную угрозу критичным бизнес-приложениям, отмечает Поляков. Раньше пользователи, вместо того чтобы вовремя обновлять критичные системы, просто прятали их за межсетевыми экранами. А теперь такая защита обходится с помощью SSRF. Сейчас для SSRF-атаки необходимы особые условия, но, как и в случае любой другой атаки, появление в Сети полноценного эксплойта с дружественным интерфейсом – всего лишь вопрос времени, говорит технический директор Digital Security. После презентации Digital Security на BlackHat USA в Сети уже успели появиться первые инструменты для проведения SSRF-атак, например, для проксирования любых запросов через уязвимый сервис.

Область применения атак, связанных с SSRF и туннелированием внешних сущностей XML, гораздо шире, чем может казаться сейчас, так как на BlackHat были представлены лишь несколько примеров ее использования, в основном для атак на SAP. В будущем наверняка появятся и другие способы применения SSRF, утверждает Александр Поляков.

Критичные бизнес-системы подвержены угрозам промышленного шпионажа, саботажа, а также мошенничества. С помощью SSRF-атак можно реализовать любую из этих угроз в зависимости от типа эксплуатируемой уязвимости. В случае XXE-туннелирования наиболее простой атакой является отказ в обслуживании. Уязвимый сервис размножит ваш запрос, так что всего один пакет с определёнными данными заставит внешний портал переслать в бизнес-приложение тысячи запросов и в итоге «уронить» систему.

Как Digital Security предупреждали еще несколько лет назад, количество атак на уязвимости кастомизированных приложений, таких как ERP-системы, программное обеспечение для банковского обслуживания, сервисные шины, CRM-системы, корпоративные порталы и т.д., сильно возросло в последнее время. Например, SAP в 2001–2006 г. закрыла около сотни уязвимостей в своих продуктах, а с 2007 по 2012 г.– уже более двух тысяч. Основная причина, как объясняет Александр Поляков, состоит в том, что атаковать операционные системы, например Windows, становится всё сложнее и сложнее с учётом последних механизмов защиты, и «даже если у вас есть рабочий эксплойт под Windows, на атакуемом сервере может не храниться никакой ценной информации». «Так зачем тратить на это время, когда можно искать уязвимости в кастомизированных приложениях? Ведь их там огромное количество, потому что никто не оценивает такие приложения с точки зрения безопасности. К тому же атака на подобное приложение заведомо выгодна для злоумышленника, потому что оно по определению хранит ценные данные», - поясняет эксперт.

По мнению Полякова, основная проблема защиты в том, что, большая часть существующих механизмов безопасности не может отразить атаки типа SSRF и XXE tunneling. Лучшее, что можно сделать – это устанавливать патчи и не думать, будто межсетевого экрана достаточно, чтобы защитить систему, а также проводить тестирование сервисов на проникновение с помощью высококвалифицированных специалистов в области безопасности приложений. Что же до частного случая SSRF-атаки, который называется туннелированием внешних сущностей XML (XXE tunneling), то все интерфейсы XML должны быть защищены от неавторизованного доступа, а использование внешних сущностей XML должно быть отключено.

Что касается критичных бизнес-приложений, таких как SAP, то на данный момент в результате скоординированной работы Digital Security и SAP AG производитель закрыл ряд архитектурных уязвимостей, позволяющих проводить подобные атаки, но это не означает, что не появится новых, отмечает Поляков. Пользователям таких систем следует применять системы непрерывного мониторинга и поиска уязвимостей, которые помогут обнаруживать уязвимости и предоставят рекомендации по борьбе с угрозами. Преимущество будет у тех систем, которые имеют набор 0-day уязвимостей.

Александр Поляков советует предприятиям предотвращать продвинутые угрозы сетевой безопасности, как только они появляются: «Безопасность – это процесс, и чем раньше вы будете узнавать о новых проблемах и угрозах, тем выше вероятность, что вы будете от них защищены».

Ищете бензин — отдаете аккаунт: мошенники запустили фейковые карты АЗС

Киберпреступники решили заработать на очередях за топливом. Специалисты «Эфшесть/F6» обнаружили более 60 фишинговых сайтов, которые маскируются под карты АЗС, игровые сервисы, маркетплейсы и видеохостинги. Схема у всех одна. Пользователю обещают показать, где есть бензин, выдать электронный талон на заправку или подарить бонусы в игре.

Для этого просят указать номер телефона, а затем ввести код из СМС. После этого мошенники получают доступ к аккаунту в мессенджере. Фейковые карты АЗС выглядят вполне убедительно.

 

На сайте предлагают выбрать вид топлива и регион, затем якобы находят несколько заправок. Но сам список не показывают. Вместо него появляется форма «подтверждения номера». В другом варианте преступники копируют оформление настоящего сервиса и требуют авторизацию ради несуществующего электронного талона.

 

Получив код, злоумышленники могут читать переписку, скачивать фото, видео и документы, просматривать контакты и рассылать сообщения от имени жертвы. Иногда владелец даже не сразу замечает взлом: доступ к аккаунту у него сохраняется, пока мошенники тихо хозяйничают внутри.

Та же сеть атакует и детей. Под видом Brawl Stars пользователям предлагают бесплатные ящики и игровую валюту после входа через мессенджер.

 

Более половины найденных сайтов прикрываются брендами маркетплейсов, еще 19% — социальными платформами. Остальные маскируются под карты АЗС, игры, видеосервисы и доски объявлений.

Чаще всего фишинговые страницы размещают в доменных зонах .site, .click, .shop, .lol и .xyz. «Эфшесть/F6» уже направила их на блокировку, но новые адреса продолжают появляться.

RSS: Новости на портале Anti-Malware.ru