Falhas de TLS, VPN e Patch não aplicados são alvos fáceis de exploração para Pen Testers

Views: 456

Falhas de TLS, VPN e Patch não aplicados são alvos fáceis de exploração para Pen Testers. Vulnerabilidades na segurança da camada de transporte, gerenciamento de senha e os controles secundários, como a autenticação de dois fatores, estão problemas comuns no nível corporativo

De acordo com dados de uma investigações entre junho de 2019 e junho de 2020 da Rapid7 , a configuração de rede interna e o gerenciamento de patches continuam a fornecer alvos “fáceis” para Pen Testers, que muitas vezes podem usar ataques de commodities prontos para uso para escalar privilégios e mover-se lateralmente na rede sem ser detectado. Ele também descobriu que os problemas com o EternalBlue e o Conficker ainda não foram eliminados das redes internas.

O teste de penetração (Pen Test)  – a prática de simular uma violação criminosa de uma área sensível para descobrir e consertar falhas defensivas – é (ainda) um assunto bastante oculto, conforme evidenciado pela recente desavença com as autoridades locais no Condado de Dallas. Funcionários da Coalfire Systems, uma empresa de testes de penetração muito respeitada, foram presos em setembro de 2019 devido a um mal-entendido sobre o escopo e a legitimidade fundamental dos testes de penetração. Embora as cargas tenham sido retiradas em fevereiro de 2020, o incidente abalou o mundo do pentesting. Claramente, todos os envolvidos na segurança ofensiva precisam se esforçar para explicar melhor o valor do pentesting rotineiro de nosso mundo físico e virtual.

De acordo com Tod Beardsley, diretor de pesquisa da Rapid7, ao longo dos 12 meses de trabalho, ele também descobriu que o gerenciamento de senha e os controles secundários, como a autenticação de dois fatores, estão muito ausentes no nível corporativo, levando a compromissos “fáceis” envolvendo tanto a difusão quanto a decriptografia de senha senhas com hash adquiridas durante violações simuladas.

Ao longo de 12 meses de dados de pesquisa, a Rapid7 descobriu que:

• A configuração da rede interna e o gerenciamento de patches continuam a fornecer alvos fáceis “fáceis” para os testadores de invasão, que muitas vezes podem usar ataques de mercadoria prontos para uso para escalar privilégios e mover-se lateralmente na rede sem serem detectados.
• O gerenciamento de senha e os controles secundários, como a autenticação de dois fatores (2FA) no nível corporativo, estão muito ausentes, levando a compromissos “fáceis” que envolvem a pulverização de senha e o cracking offline de senhas com hash adquiridas durante violações simuladas.
• Como os profissionais do conhecimento do mundo dependem mais do que nunca de VPNs e aplicativos baseados na Internet, em vez de controles de rede tradicionalmente internos no local, os Pen Testers estão encontrando falhas significativas nesses terminadores VPN e aplicativos web personalizados.

Embora nada disso seja particularmente chocante até mesmo para o pesquisador de segurança mais mais cético, esses dados são sólidos que podem ajudar as empresas em todo o mundo a entender o que esperar de seu próximo teste de penetração e ser usados ​​como uma lista de verificação do que para investigar e corrigir antes disso. 

Segundo a Rapid7, “os dados da pesquisa do relatório foram coletados de junho de 2019 a junho de 2020 e coletaram respostas de um total de 206 engajamentos. O pen tester individual mais ocupado do mundo tende a se envolver em menos de 25 testes de penetração por ano (assumindo um tempo médio de engajamento de cerca de oito a 10 dias), então este artigo deve ser esclarecedor para qualquer pen tester interessado nas tendências do setor.”

Além disso, como há mais dependência de VPNs e aplicativos baseados na Internet, em vez de controles de rede internos tradicionais, os pen testers encontraram falhas significativas nesses terminadores VPN e aplicativos web personalizados.

O relatório também encontrou duas vulnerabilidades “como procedimentos padrão para qualquer avaliação de rede com escopo interno”. Eles foram o MS08-067, que foi transformado em arma no exploit do Conficker em 2008, e o MS17-10, que foi a vulnerabilidade central do kit de exploit EternalBlue de 2017.

“Esses dois problemas estão entre as vulnerabilidades famosas da última década, então você pensaria que as equipes de TI e segurança de TI já teriam extirpado essas vulnerabilidades de suas redes internas”, disse Beardsley.

Mark Kedgley, CTO da New Net Technologies , disse à Infosecurity que sente que a causa do EternalBlue e do Conficker ainda é tão proeminente por causa do número de sistemas baseados no Windows que não podem ser facilmente atualizados ou mesmo corrigidos, como EPoS e sistemas ATM.

“Mesmo dentro do NHS do Reino Unido, uma das vítimas de maior perfil do WannaCry, há relatos de uso ainda generalizado do Windows 7 devido ao orçamento e aos desafios práticos da TI em grande escala”, disse Kedgley. “Está claro que atualizar e corrigir os sistemas é um grande desafio e, enquanto isso for verdade, vulnerabilidades conhecidas e exploráveis ​​ainda estarão presentes e serão uma ameaça. Outros controles de segurança, como controle de alterações e detecção de violação, podem desempenhar um papel na compensação de ambientes onde a correção é um problema. ”

Além disso, as principais vulnerabilidades encontradas pelos Pen Testers  externos foram: segurança de camada de transporte fraca (10,48%), política de senha fraca (7,08%), cabeçalhos de resposta de segurança estrita de transporte (STS) ausentes (6,23%), enumeração de usuário (5,67% )  

Kedgley disse: “Sites públicos são naturalmente propensos a ataques. Portanto, este tem sido um risco de segurança crítico desde que as implementações mais antigas de TLS foram consideradas fracas e sujeitas a comprometimento. O PCI DSS proibiu as versões SSL e TLS há cinco anos, como era conhecido na época, esse era um grande problema para praticamente todos os sites.”  

“O TLS 1.3 irá tapar os buracos conhecidos nas versões anteriores, mas os mesmos problemas se aplicam ao fato de apenas ter um patch ou atualização disponível não nos torna seguros – é apenas quando é totalmente implementado e testado que a superfície de ataque é corrigida”, complementa.

Prevenção é fundamental 

Segundo a Rapid 7, embora detecção e resposta (D&R) automatizada seja um componente crítico de um programa de segurança de TI maduro, existem alguns fundamentos que todas as organizações fariam bem em revisar antes de seu próximo teste de penetração. Em termos gerais, esses fundamentos são:

• Revise sua estratégia de gerenciamento de senha. Muitos testes de penetração terminam com listas e mais listas de senhas mal escolhidas e geradas por humanos, independentemente de quaisquer outros controles de segurança sofisticados em vigor. O gerenciamento de credenciais pode, e deve, ser uma função em tempo integral do programa de segurança de TI de uma organização e, quanto mais usuários e serviços puderem ser movidos para senhas geradas automaticamente e com rotação automática, melhor. Pode ser doloroso no início adotar o gerenciamento de senhas controlado por máquina, mas depois de um tempo, isso se tornará uma segunda natureza. O treinamento e o suporte aos usuários no uso de soluções de gerenciamento de senhas os tornará quase impermeáveis ​​ao vazamento acidental de senhas por meio da engenharia social, bem como tornará um arquivo hash NTDS.dit roubado praticamente inútil.
• Revise sua estratégia de gerenciamento de patch. O melhor uso de uma avaliação de rede interna é descobrir onde sua estratégia de gerenciamento de patches está falhando – quais cantos escuros e cheios de teias de sua infraestrutura de TI não estão recebendo revisões de rotina para patches e atualizações. Se uma empresa está contando com os usuários para fazer a coisa certa e clicar nessas telas para atualizações (em vez de clicar “mais tarde” de novo e de novo, para sempre), os Pen Testers  quase certamente ficarão sobrecarregados com tantas vulnerabilidades exploráveis ​​que você ouvirá apenas sobre os exemplos mais flagrantes de onde as pessoas não conseguiram acompanhar as atualizações.
• Empregue segmentação de rede sempre que possível. Segmentos de rede pequenos e gerenciáveis ​​podem fazer muito bem quando se trata de conter uma violação interna. Os Pen Testers gastam uma boa quantidade de tempo e energia não tanto para obter a primeira camada, mas para decidir para onde ir em seguida. Redes grandes e planas podem apresentar centenas de oportunidades para movimento lateral e também tendem a ser difíceis de gerenciar com programas caros de D&R. O nome do jogo aqui é reprimir invasores, tanto criminosos quanto Pen Testers , e dificultar a passagem de um ativo para outro em busca de sistemas que sejam comprometíveis e pontos de lançamento úteis para o próximo comprometimento.

Sites que carecem de uma dessas três práticas fundamentais de segurança da informação podem ser comprometidos trivialmente por um invasor experiente e, para ser honesto, pagar por um teste de penetração quando uma ou mais dessas práticas não estão sendo seguidas é provavelmente um desperdício de todos Tempo.

Uma rede segmentada com gerenciamento de patch razoável e senhas geradas por máquina para todas as contas de usuário e serviço é praticamente a posição mais segura para se estar quando o Pen Tester aparece. Isso garantirá que o cliente esteja obtendo o maior retorno para seu investimento de segurança ofensiva. O teste de penetração não trata realmente de testar tecnologias e políticas; esse é o trabalho do QA e do RH. Em vez disso, é melhor pensar no teste de caneta como sendo suposições de teste sobre essas tecnologias e políticas.

Os testes de penetração quase sempre tratam de fazer melhorias incrementais em processos e tecnologias existentes, ao invés de apontar que um processo está totalmente ausente em primeiro lugar. Os testes de penetração mais impactantes são aqueles que descobrem aquele sistema isolado ou aquela rede esquecida que de alguma forma foi examinada pela equipe interna e relatam exatamente como o encontraram e o que fizeram para comprometê-lo. No final das contas, o Pen Teste é quase a maneira mais eficaz de aprender onde as suposições não correspondem à realidade quando se trata de executar tecnologia da informação intensamente complicada, e os melhores testadores farão disso o foco de qualquer ação posterior para que o cliente possa ajustar suas premissas de acordo.

FONTE: MINUTO DA SEGURANÇA