Защита периметра сетевой IT-инфраструктуры большинства отечественных организаций оставляет желать лучшего. Об этом свидетельствует исследование, проведённое компанией Positive Technologies.

Согласно представленным Positive Technologies сведениям, в сетях 84 % российских организаций выявлены бреши высокого уровня риска, причём в 58 % компаний имеется хотя бы один узел с критической уязвимостью, для которой существует общедоступный эксплойт. Более чем в половине предприятий внешние ресурсы содержат уязвимости, связанные с выполнением произвольного кода или повышением привилегий.

Источник: Positive Technologies

Как сообщается в исследовании, в каждой четвертой организации (26 %) на узлах с внешними сетевыми интерфейсами открыт сетевой порт 445/TCP, что подвергает корпоративную IT-инфраструктуру риску заражения шифровальщиком WannaCry. Кроме того, на сетевом периметре большинства компаний были выявлены доступные для подключения веб-сервисы, электронная почта, интерфейсы для удалённого администрирования, файловые службы.

Во всех компаниях выявлены узлы, на которых раскрывается та или иная техническая информация: содержимое конфигурационных файлов, маршруты к сканируемому узлу, версии ОС или поддерживаемые версии протоколов. «Чем больше подобной информации об атакуемой системе удаётся собрать злоумышленнику, тем выше его шанс на успех», — отмечают в Positive Technologies. По мнению экспертов, причина кроется в небезопасной конфигурации служб.

Практически на всех серверных платах установлены контроллеры BMC (base management controller), отслеживающие ряд параметров системы и позволяющие управлять ей без необходимости физического присутствия. Но контроллер BMC сам по себе является компьютером и, следовательно, его программное и аппаратное обеспечение может содержать уязвимости, ставящие под потенциальный удар злоумышленников всю систему. Как оказалось, подобным грешит Emulex Pilot 3, применяемый в ряде продуктов Intel.

Intel S2600CW, одна из плат, подверженных уязвимости. Контроллер BMC Emulex Pilot 3 можно увидеть в правом нижнем углу

Emulex Pilot 3 — комплексное решение, полностью отвечающее стандартам IPMI 2.0 и DCMI. В его основе лежит процессорное 32-битное ядро с архитектурой ARM9, работающее на частоте 400 МГц. Ему помогают сопроцессоры RISC Second Service и 8051, оба работающие на частоте 200 МГц. Для реализации аппаратной функции KVM в составе имеется также 2D-видеоядро с собственным выделенным фрейм-буфером, поддерживающее разрешения до 1920x1200, чего для задач удалённого управления вполне достаточно.

Как оказалось, прошивка Emulex Pilot 3 не лишена уязвимостей, причём таких, что по шкале CVSS им был присвоен рейтинг 9,6 из 10, что означает статус «критических». Уязвимость связана с некорректной реализацией механизмов аутентификации в версиях прошивок Emulex до 1.59, позволяющих обойти сам процесс аутентификации полностью и получить доступ к KVM-консоли сервера. Единственное требование к атакующему — он должен находиться в том же сетевом сегменте, что и уязвимый сервер.

Контроллер BMC Pilot 3 в архитектуре системной платы Intel S1200

Самой серьёзной уязвимости присвоен номер CVE-2020-8708, но существуют и другие, связанные с этими же устройствами — CVE-2020-8707 (8,3 балла по шкале CVSS) и менее опасная CVE-2020-8706 (4,7 балла). Исследователи уверены, что проблема за номером 8708 связана с самой архитектурой Emulex Pilot 3; отмечается даже, что работать с BMC посредством этой уязвимости может быть удобнее, нежели используя официальный Java-клиент.

Компания Intel сообщила что в целом устранила 22 уязвимости. В основном, ей оказались подвержены системные платы серии S2600 для Xeon E5 (LGA2011-3), использующиеся не только в серверах. На текущий момент список плат таков:

• Intel S2600WT;
• Intel S2600CW;
• Intel S2600KP;
• Intel S2600TP;
• Intel S2600WF;
• Intel S2600ST;
• Intel S2600BP;
• Intel S1200SP.

Среди готовых серверных систем Intel под угрозой R1000WT/WF, R2000WT/WF, R1000SP, LSVRP и LR1304SP. Затронуты модули HNS2600KP/TP/BP. Более детальная информация содержится на сайте Intel. Для устранения уязвимостей следует обновить прошивку BMC до версии 1.59.

Пока речь идёт о системах только производства Intel, но прошивка для Pilot 3 создана компанией AMI, так что с аналогичными уязвимостями теоретически могут столкнуться и владельцы систем производителей, отличных от Intel. Сама Intel рекомендует также ознакомиться с новой информацией относительно уязвимостей, могущих встречаться в других её продуктах.

Недавно обнаруженная уязвимость системы безопасности программно-аппаратного обеспечения удалённого доступа на серверах Dell может предоставить хакерам полный доступ к системам, которые используют менеджеры центров обработки данных, позволяя им, например, производить отключение охлаждающих вентиляторов сервера или полное выключение оборудования.

Исследователи безопасности, обнаружившие уязвимость, идентифицировали сотни серверов, к которым благодаря ей открыт доступ через Интернет. «Это опасная уязвимость, — сообщил ресурсу Георгий Кигурадзе, один из двух исследователей Positive Technologies, обнаруживших уязвимость в серверах Dell. — Она позволяет получить полный контроль над работой сервера, включать и выключать серверы, а также изменять параметры его охлаждения».

Речь идёт об обнаружении уязвимости Path Traversal в контроллере удалённого доступа Dell (Integrated Dell Remote Access Controller, iDRAC), которая получила номер CVE-2020-5366. К счастью, есть патч, но, к сожалению, злоумышленники иногда могут воспользоваться уязвимостью быстрее, чем менеджеры ЦОД её устранят, как это произошло в мае с программным обеспечением для управления серверами SaltStack. Если ЦОД не будут достаточно быстро устанавливать новые патчи iDRAC, они могут столкнуться с некоторыми серьезными рисками.

Кигурадзе затрудняется сказать, насколько много систем потенциально уязвимо для хакерской атаки, «iDRAC предлагается в качестве опции почти для всех существующих серверов Dell», — отметил он. Dell рекомендует не подключать iDRAC напрямую к Интернету, но не все организации следуют этому совету. Помимо установки патча, рекомендуется использовать веб-брандмауэры для защиты от этой и других подобных уязвимостей. А лучше всего вынести iDRAC в отдельную административную сеть с доступом только для авторизованных администраторов сервера.

А, пожалуй, наиболее нашумешвой уязвимостью в серверах Dell стала iDRACula (integrated Dell Remote Access Controller unauthorized load access), которая позволяла полностью заменить прошивку iDRAC в старых серверах. Как и любая другая уязвимость в BMC, включая и последнюю CVE-2020-5366, она опасна тем, что позволяет влиять на работу сервера, почти не обнаруживая себя.

Ресурс Phoronix обратил внимание на необычный патч, принятый Линусом Торвальдсом в ядро Linux 5.8, который, согласно описанию, «усложняет удалённое наблюдение, которое может привести к угадыванию внутреннего состояния сетевого генератора [псевдо]случайных чисел».

Flickr/foxtongue

Патч меняет первые 32 из 128 бит переменной net_rand_state при появлении прерывания или активности CPU. Проще говоря, состояние генератора будет чаще обновляться вне зависимости от аппаратной конфигурации и настроек конкретной системы. Необычность патча в том, что он не попал в списки рассылки и предварительно публично не обсуждался в отличие от обычных правок. Кроме того, он будет портирован в предыдущие релизы ядра и попадёт таким образом во все мажорные Linux-дистрибутивы.

Ну а самое интригующее в этой истории то, что автором патча является Амит Клайн (Amit Klein), известный специалист в области информационной безопасности с почти 30-летним стажем. Ранее он неоднократно находил уязвимости в ядре Linux. Так что за довольно абстрактным описанием патча может скрываться ещё одна «дыра» и притом серьёзная, так как наличие хорошего источника случайных чисел крайне важно для шифрования и защиты.

Концепция Universal Plug and Play (UPnP) изначально имела благие намерения — унифицировать и автоматизировать настройку сетевых устройств, от домашних медиапроигрывателей до сетей малых предприятий. Но благими намерениями часто бывает вымощена дорога известно куда. Сложный набор протоколов и технологий не мог не иметь пробелов. Так, новая уязвимость CallStranger позволяет отправлять сетевой трафик произвольному получателю.

UPnP применяется во множестве бытовых и офисных устройств с доступом в сеть

UPnP — довольно удобная технология: устройство с поддержкой этой технологии присоединяется к сети, в динамическом режиме получает IP-адрес, сообщает о своих возможностях и опрашивает другие устройства на предмет их возможностей. В UPnP используются известные технологии: IP, TCP/UDP, HTTP и XML. Пример использования UPnP — автоматическое перенаправление портов, которое реализовано, например, в Skype и торрент-клиентах.

Однако бездумное включение UPnP везде может сделать вашу сеть привлекательной целью для злоумышленников. Как сообщает ресурс OpenNET, новая уязвимость CVE-2020-12695, получившая имя CallStranger, позволяет извлекать данные даже из защищённых сетей, сканировать порты компьютеров во внутренней сети, а также задействовать для DDoS-атак весь парк UPnP-устройств, от кабельных модемов и домашних маршрутизаторов до IP-камер и игровых консолей.

В поле CALLBACK можно подставить любой URL

В спецификациях UPnP предусмотрена функция SUBSCRIBE (подписка), она изначально предназначена для отслеживания изменений настроек различных устройств и сервисов в сети. Но она же позволяет и любому атакующему извне отправить HTTP-пакет с заголовком Callback, что даёт возможность применить UPnP-устройство в качестве прокси-узла. Этот узел может быть занят отправкой запросов на другие хосты.

Проблема этой части спецификаций UPnP в том, что функция SUBSCRIBE позволяет указать любой URL, с которым устройство попытается осуществить соединение. К сожалению, этой уязвимости подвержены все системы с UPnP, отвечающие спецификациям с датой выпуска до 17 апреля этого года. Подтверждено использование CallStranger в открытом пакете hostapd (для Wi-Fi), к нему доступен патч с исправлением.

В основе UPnP лежит XML

Но большая часть Linux-систем всё ещё уязвима, в список входят такие известные дистрибутивы, как RHEL, SUSE, Arch, Fedora, Ubuntu, Debian, а также «народная» прошивка для маршрутизаторов OpenWRT. Все устройства, в которых UPnP реализовано на основе открытого стека pupnp также под угрозой.

К сожалению, организация, ответственная за развитие UPnP, Open Connectivity Foundation (OCF) знала о наличии проблемы ещё в конце прошлого года, но отнеслась к ней небрежно, изначально не считая данную возможность уязвимостью. В настоящее время проблема признана, предписано использование UPnP только в сегменте LAN, но не WAN. Однако недоработка имеет фундаментальную природу; UPnP используется широко и для ряда старых устройств обновлений может попросту не появиться.

В качестве защитных мер рекомендуется изоляция UPnP-устройств от внешних запросов со стороны WAN, для этого нужно соответствующим образом настроить брандмауэр. Необходимо блокировать HTTP-запросы типа SUBSCRIBE и NOTIFY. В качестве крайней мере рекомендуется полное отключение UPnP. Провериться на наличие уязвимости можно с использованием специального инструментария. Полный отчёт об уязвимости доступен здесь.

VMware — один из признанных лидеров в области технологий виртуализации. Однако так ли уж надёжны все решения этой компании? Группа хакеров Citadelo даёт отрицательный ответ. Некоторые инструменты VMWare на удивление легко поддаются взлому, как это случилось с vCloud Director.

vCloud Director — средство развёртывания облачных систем и управления ими. Оно используется как провайдерами публичных облачных услуг, так и компаниями, создающими «приватные» облака. Взлом такого облака может принести массу ценной для хакера информации. Уязвимость CVE-2020-3956 была закрыта патчем в середине мая, однако прошло не так много времени, чтобы обновление успели произвести все, кто пользуется этим инструментарием.

Сам взлом позволяет получить доступ к внутренней базе данных, включая хеши паролей, повысить уровень привилегий с администратора организации (organization administrator) до практически всесильного администратора всей системы управления (system administrator). Возможна даже модификация страницы входа в vCloud Director для дальнейшего перехвата паролей и другой вводимой пользователями секретной информации.

Как выяснили Томаш Мелихер и Лукаш Вацлавик (Tomáš Melicher and Lukáš Václavík), механика довольно простая. При попытке подставить значение «${7*7}» вместо имени хоста SMTP-сервера в запросе из панели управления vCloud Director они получили следующий ответ системы: «String value has invalid format, value: [49]». Конструкция «${ }» приводит к выполнению её содержимого на стороне сервера, в данном случае это код на Java. 

К счастью, группа Citadelo относится к так называемому «этическому» подвиду хакеров. Ничего вредоносного исследователи не сделали, напротив, они сообщили об этой ситуации VMware, которая 19 мая опубликовала эту информацию вместе с закрывающим уязвимость патчем. Однако пример кода для взлома был также опубликован Citadelo, поэтому тем, кто ещё не воспользовался вышеупомянутым патчем, имеет смысл сделать это как можно скорее.

В демоне протокола Point-to-Point Protocol Daemon (PPPD), который используется для сетевых соединений типа точка-точка, обнаружена уязвимость. Эта брешь существовала 17 лет и позволяла выполнять произвольный код на уровне системы, причём весьма простым способом. 

Для этого можно было использовать специально сформированные запросы на аутентификацию — при отправке особого EAP-пакета (Extensible Authentication Protocol) можно было вызвать переполнение буфера, что давало возможность выполнения произвольного кода от имени root.

pixabay.com

Ошибка закралась в код проверки размера поля rhostname — для переполнения нужно было лишь отправить очень длинное имя хоста. При этом уязвимыми являются как клиент, так и сервер. В последнем случае это позволяет атаковать клиентские компьютеры через центральный хост.

Проблема актуальна для версий демона с 2.4.2 по 2.4.8 включительно, для устранения проблемы уже вышел патч. Затронутыми могут быть все основные дистрибутивы Linux и вариации *BSD, а также OpenWRT и некоторые решения Cisco, TP-LINK и Synology. 

Positive Technologies сообщила об обнаружении уязвимости в программном обеспечении компании Citrix Systems, решения которой широко задействованы в корпоративной среде.

Отмечается, что выявленная брешь носит статус критически опасной. В случае её эксплуатации злоумышленник может обойти механизмы защиты ПО Citrix Systems и получить прямой доступ к локальной IT-инфраструктуре организации из Интернета.

Опасной уязвимости подвержены платформы Citrix Application Delivery Controller (NetScaler ADС) и Citrix Gateway (NetScaler Gateway) версий 10.5, 11.1, 12.0, 12.1 и 13.0. По оценкам экспертов Positive Technologies, обнаруженная «дыра» в перечисленных продуктах делает потенциально уязвимыми не менее 80 тысяч компаний из 158 стран.

«В зависимости от конкретной конфигурации, приложения Citrix Systems могут использоваться для подключения к рабочим компьютерам и критически важным бизнес-системам (в том числе таких классов, как ERP). Практически во всех случаях приложения вендора доступны на периметре сети предприятия, а значит, подвержены атакам в первую очередь. Данная уязвимость позволяет внешнему неавторизованному злоумышленнику не только получить доступ к опубликованным приложениям, но и проводить атаки с сервера Citrix Systems на другие ресурсы внутренней сети атакуемой компании», — говорится в информационном сообщении Positive Technologies.

Отмечается, что компания Citrix Systems уже разработала комплекс оперативных мер, минимизирующих вероятность эксплуатации уязвимости киберпреступниками, а также настаивает на незамедлительном обновлении всех уязвимых версий ПО до рекомендуемых.

Технология VPN-туннелей очень распространена и часто используется для допуска в защищённую корпоративную сеть пользователей, работающих удалённо.

Но совсем недавно появилось сообщение о методе атаки, который позволяет подменять или подставлять пакеты в TCP-соединениях IPv4 и IPv6, пробрасываемых через VPN.

Уязвимость получила порядковый номер CVE-2019-1489, она была обнаружена специалистами из Университета Нью-Мексико. Проблема затрагивает почти все UNIX-like операционные системы: Linux, FreeBSD, OpenBSD, Android, MacOS, iOS и другие.

Применяемые в туннелях алгоритмы шифрования не имеют значения: «поддельные» пакеты хотя и поступают из внешнего интерфейса, но обрабатываются ядром, как принадлежащие VPN-интерфейсу. При наличии дополнительных слоёв шифрования (TLS, HTTPS или SSH) вклиниться в VPN-туннель не получится.

Специалисты продемонстрировали успешную подмену для OpenVPN, WireGuard и IKEv2/IPSec. Tor уязвимости не подвержен, поскольку использует SOCKS и lo-интерфейс. В системах с ядром Linux уязвимость для IPv4 напрямую связана с тем, как настроена функция rp_filter (reverse path filtering). В режиме «Strict» уязвимости нет, но дело в том, что начиная с версии systemd 240 по умолчанию используется режим «Loose».

Для защиты VPN-туннелей с адресацией IPv4 достаточно будет переключиться на «Strict», в остальных случаях рекомендуется блокировать прохождение пакетов, у которых в качестве адреса назначения указан виртуальный адрес туннеля. Это временное решение до тех пор, пока в ядра подверженных уязвимости ОС не будет добавлена защита от описанной атаки.

Модули TPM (Trusted Platform Module) часто устанавливаются в системы, с помощью которых осуществляется обработка конфиденциальной информации. Одна из функций этих модулей — генерация и безопасное хранение ключей шифрования. Для этого на борту модуля имеется отдельный криптопроцессор.

Но, как выяснилось, использование TPM не дает стопроцентной гарантии от утечки данных.

Архитектура криптопроцессора TPM

Группа исследователей, в которую вошли представители Вустерского политехнического института, а также Любекского и Калифорнийского университетов, разработала метод атаки, позволяющий восстанавливать значения закрытых ключей, сохранённых в модуле TPM.

Атака получила название TPM-Fail — она затрагивает как программно-аппаратные решения Intel (CVE-2019-11090), так и модули, построенные на базе чипов STMicroelectronics ST33 (CVE-2019-16863). Исследовали выложили в публичный доступ прототип ПО для атаки, а также продемонстрировали возможность восстановления 256-битного закрытого ключа, который используется в ЭЦП-алгоритмах ECDSA и EC-Schnorr.

Модуль TPM, установленный на системную плату. Версия Infineon, уязвимости нет

В основе новой атаки лежит временной анализ операций в процессе генерирования цифровой подписи. Оценка задержек позволяет получить информацию об отдельных битах, но для успешного восстановления ключа необходимо довольно существенное время.

Это время оценивается в 4-20 минут (до 15 тысяч операций) в случае решения Intel и порядка 80 минут (до 40 тысяч операций) для аппаратных TPM на базе ST33, поскольку для временного анализа необходима генерация нескольких тысяч ЭЦП для уже известных атакующему данных.

STMicroelectronics признала ошибку и сообщает, что в новой редакции криптопроцессора работа алгоритма ECDSA более не даёт задержек, которые можно было бы проанализировать. Интересно, что в аналогичных чипах Infineon и Nuvoton данная уязвимость отсутствует изначально.

Результаты аудита SDK для создания защищённых приложений

Что касается решений Intel, то описываемая проблема затрагивает все процессоры, начиная с поколения Haswell — как мобильные и десктопные, так и серверные. Но компания также признаёт наличие уязвимости и уже в ноябрьском обновлении прошивок она была устранена наряду с 24 другими различными уязвимостями.

Дополнительно стоит отметить публикацию результатов аудита различных средств разработки приложений, работающих с кодом, выполняемых в изолированных анклавах. По результатам выявлено 35 уязвимостей, потенциально позволяющих извлечь из AES-ключи или даже запускать какой-либо вредоносный код. Как выяснилось, архитектура Intel SGX не является единственной уязвимой — потенциально под угрозой находится также и RISC-V Keystone.