Digital Security предупреждает о новом виде атак на корпоративные системы

По итогам выступлений на BlackHat USA 2012 и RSA China 2012Александр Поляков, технический директор Digital Security, представил обзор новой угрозы для критичных бизнес-приложений – SSRF (Server Side Request Forgery). «Представьте, что у вас есть две системы (назовём их А и Б), которые доверяют друг другу, то есть соединение между ними не блокируется межсетевым экраном, так как между ними необходимо передавать некие данные.

Система А – это, например, корпоративный портал, который обычно доступен из небезопасной сети, такой как интернет. А другая система – это, скажем, ERP, и она недоступна из интернета, но доверяет корпоративному порталу. Именно такова структура сети большинства компаний, - рассказывает Поляков. – SSRF-атака (Server Side Request Forgery, или межсерверная подделка запросов) заключается в том, чтобы найти какой-нибудь уязвимый сервис в системе А, который сможет переслать зловредный запрос во внутреннюю сеть и таким образом перенаправить атаку в систему Б. Так злоумышленник сможет, обойдя межсетевые экраны и системы обнаружения вторжений, напрямую эксплуатировать уязвимости в якобы защищенных системах».

По его словам, традиционные атаки направлены непосредственно на целевую систему и относительно легко обнаруживаются IDS-системами или блокируются межсетевыми экранами. SSRF – пример более сложной атаки, которую труднее предотвратить, так как атака осуществляется не напрямую, а через посредника, и эксплойт передаётся в преобразованном виде, что затрудняет его обнаружение, передает safe.cnews.ru.

SSRF, несомненно, представляет собой новую опасную угрозу критичным бизнес-приложениям, отмечает Поляков. Раньше пользователи, вместо того чтобы вовремя обновлять критичные системы, просто прятали их за межсетевыми экранами. А теперь такая защита обходится с помощью SSRF. Сейчас для SSRF-атаки необходимы особые условия, но, как и в случае любой другой атаки, появление в Сети полноценного эксплойта с дружественным интерфейсом – всего лишь вопрос времени, говорит технический директор Digital Security. После презентации Digital Security на BlackHat USA в Сети уже успели появиться первые инструменты для проведения SSRF-атак, например, для проксирования любых запросов через уязвимый сервис.

Область применения атак, связанных с SSRF и туннелированием внешних сущностей XML, гораздо шире, чем может казаться сейчас, так как на BlackHat были представлены лишь несколько примеров ее использования, в основном для атак на SAP. В будущем наверняка появятся и другие способы применения SSRF, утверждает Александр Поляков.

Критичные бизнес-системы подвержены угрозам промышленного шпионажа, саботажа, а также мошенничества. С помощью SSRF-атак можно реализовать любую из этих угроз в зависимости от типа эксплуатируемой уязвимости. В случае XXE-туннелирования наиболее простой атакой является отказ в обслуживании. Уязвимый сервис размножит ваш запрос, так что всего один пакет с определёнными данными заставит внешний портал переслать в бизнес-приложение тысячи запросов и в итоге «уронить» систему.

Как Digital Security предупреждали еще несколько лет назад, количество атак на уязвимости кастомизированных приложений, таких как ERP-системы, программное обеспечение для банковского обслуживания, сервисные шины, CRM-системы, корпоративные порталы и т.д., сильно возросло в последнее время. Например, SAP в 2001–2006 г. закрыла около сотни уязвимостей в своих продуктах, а с 2007 по 2012 г.– уже более двух тысяч. Основная причина, как объясняет Александр Поляков, состоит в том, что атаковать операционные системы, например Windows, становится всё сложнее и сложнее с учётом последних механизмов защиты, и «даже если у вас есть рабочий эксплойт под Windows, на атакуемом сервере может не храниться никакой ценной информации». «Так зачем тратить на это время, когда можно искать уязвимости в кастомизированных приложениях? Ведь их там огромное количество, потому что никто не оценивает такие приложения с точки зрения безопасности. К тому же атака на подобное приложение заведомо выгодна для злоумышленника, потому что оно по определению хранит ценные данные», - поясняет эксперт.

По мнению Полякова, основная проблема защиты в том, что, большая часть существующих механизмов безопасности не может отразить атаки типа SSRF и XXE tunneling. Лучшее, что можно сделать – это устанавливать патчи и не думать, будто межсетевого экрана достаточно, чтобы защитить систему, а также проводить тестирование сервисов на проникновение с помощью высококвалифицированных специалистов в области безопасности приложений. Что же до частного случая SSRF-атаки, который называется туннелированием внешних сущностей XML (XXE tunneling), то все интерфейсы XML должны быть защищены от неавторизованного доступа, а использование внешних сущностей XML должно быть отключено.

Что касается критичных бизнес-приложений, таких как SAP, то на данный момент в результате скоординированной работы Digital Security и SAP AG производитель закрыл ряд архитектурных уязвимостей, позволяющих проводить подобные атаки, но это не означает, что не появится новых, отмечает Поляков. Пользователям таких систем следует применять системы непрерывного мониторинга и поиска уязвимостей, которые помогут обнаруживать уязвимости и предоставят рекомендации по борьбе с угрозами. Преимущество будет у тех систем, которые имеют набор 0-day уязвимостей.

Александр Поляков советует предприятиям предотвращать продвинутые угрозы сетевой безопасности, как только они появляются: «Безопасность – это процесс, и чем раньше вы будете узнавать о новых проблемах и угрозах, тем выше вероятность, что вы будете от них защищены».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Аналитики изучили методы блокировки интернета в Белоруссии

Исследователи из Qurium Media Foundation проанализировали методы блокировки, задействованные четырьмя разными операторами связи в Белоруссии. Напомним, что в ходе протестов в стране на некоторое время отключили интернет, а также заблокировали более 80 веб-сайтов (преимущественно новостных).

Аналитики Qurium Media Foundation подключили к расследованию белорусскую организацию Human Constanta, отстаивающую права человека. Вместе они изучили методы «Белтелекома», МТС, A1 и «Деловой сети».

Исследователи хотели понять, как работает блокировка в исполнении белорусских операторов связи. Согласно отчёту Qurium Media Foundation, провайдеры использовали собственную инфраструктуру, это значит, что интернет блокировался не на центральном уровне.

Среди конкретных методов исследователи перечислили спуфинг DNS, «прозрачные прокси», перехваченные HTTPS-сертификаты и DPI.

 

«Деловая сеть», например, перехватывала HTTP-соединения и перенаправляла их на 212.98.160{.}60. Специалисты также нашли сервер «BLOCK-SERVER.bn.by» с IP-адресом 212.98.160{.}157.

HTTP/1.1 307 Temporary Redirect
Location: http://212.98.160.60/

 

«Белтелеком» использовал различные сигнатуры для блокировки. HTTP-трафик на порт 80 перенаправлялся на 82.209.230{.}23. За редирект отвечал HTTP 302:

HTTP/1.1 302 FOUND
Content-Type: text/html
Location: http://82.209.230{.}23
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru