0
0
No último trimestre de 2019, pesquisadores da ClearSky descobriram uma operação de ataque que eles apelidaram de “Campanha Fox Kitten”. Atores iranianos usaram essa ofensiva para obter acesso persistente às redes de dezenas de empresas que operam em Israel e em todo o mundo nos setores de TI, telecomunicações, petróleo e gás, aviação, governo e segurança. Esses indivíduos foram bem sucedidos em seus esforços porque empregaram uma variedade de vetores de ataque. No geral, a ClearSky descobriu que seu vetor de ataque mais eficaz era a exploração de vulnerabilidades de “1 dia” em soluções VPN não reparadas com o propósito de se infiltrar e comprometer armazenamentos críticos de informações corporativas.
Você não ouve falar de vulnerabilidades de “1 dia” tanto assim. Mas essas fraquezas do “N-day”, como são mais comumente chamadas, são uma preocupação de segurança que todas as organizações devem ter em seu radar. Caso contrário, eles poderiam deixar-se expostos a campanhas de ataque como Fox Kitten.
Com essa possibilidade em mente, este post no blog começará fornecendo uma definição do que são vulnerabilidades do “N-day” e diferenciando-as de falhas de zero-day. Em seguida, discutirá como esses bugs representam um risco de segurança particular para sistemas de controle industrial (ICSes) em relação a outros ambientes. Finalmente, ele concluirá fornecendo orientações sobre como as organizações podem fortalecer seus ICSes contra vulnerabilidades n-day.
O que são vulnerabilidades do n-day?
O Dark Reading explica que as vulnerabilidades do n-day são um tipo de fraqueza de segurança sobre a qual um desenvolvedor de software ou fabricante de hardware já sabe. Essas empresas podem já ter emitido um patch para esses tipos de falhas, ou podem estar no processo de criar um ou implantar um. Posteriormente, os atacantes digitais não precisam fazer nenhum levantamento duro. Eles geralmente podem descobrir tudo o que precisam saber sobre a vulnerabilidade, revisando os patches usando um processo chamado diffing binário ou vasculhando documentos de divulgação pública para explorações ativas.
É evidente que os bugs do dia N não são os mesmos que vulnerabilidades de zero-day. Per Stack Overflow, este último envolve ataques nos quais atores mal-intencionados exploram falhas não reveladas sobre quais fornecedores de software ou fabricantes de hardware não têm conhecimento. Essas vulnerabilidades consomem consideravelmente mais tempo e recursos para serem descobertos. Mesmo assim, eles permitem que os atacantes tenham o salto sobre as empresas. Ao realizar um ataque de zero-day, eles deixam as empresas com pouca escolha além de criar um patch o mais rápido possível para evitar ataques adicionais.
Ao longo dessa lógica, uma vulnerabilidade de zero-day torna-se um n-day sempre que a comunidade de segurança atribui um identificador de Vulnerabilidades e Exposições Comuns (CVE). É então que o fornecedor de software ou fabricante de hardware afetado trabalha para liberar um patch. Esse processo geralmente envolve trabalhar com provedores de software de terceiros para implementar uma correção, também; caso essas entidades não emitam um patch, usuários e organizações ainda podem estar vulneráveis.
Mesmo quando essa correção é lançada, no entanto, atores mal-intencionados ainda podem usar um dia N como parte de seus ataques por anos a fio. (Pense EternalBlue.) Essa longevidade é impulsionada por todas as possibilidades da dark web. Indivíduos nefastos podem vender e baixar explorações para falhas do dia N fora de mercados da web subterrânea, permitindo que até mesmo atores inexperientes criem ataques eficazes.
Por que os ICSes em particular são tão vulneráveis aos n-dias
Qualquer grande rede corre o risco de um ataque do dia N. Mesmo assim, a Dark Reading relatou que os ambientes industriais são particularmente vulneráveis devido a quatro circunstâncias específicas que os diferenciam de outras redes. Esses fatores são os seguintes:
- Questão de disponibilidade: As organizações não podem levar seus ICSes off-line para uma atualização tão facilmente quanto podiam com seus sistemas de TI. A interrupção desses sistemas poderia minar a infraestrutura crítica da qual dependem milhares de empresas e famílias, por exemplo. Pode até ameaçar a segurança pública. Dito isso, as organizações têm um incentivo para manter seus sistemas industriais disponíveis o tempo todo.
- Falta de padronização: OS ICSes não são os mesmos dos sistemas de TI. Os primeiros utilizam protocolos proprietários que dificultam, se não impossível, que os sistemas industriais se comuniquem automaticamente entre si. Como resultado, as organizações geralmente precisam aplicar patches em um processo manual exclusivo para cada fornecedor.
- Falta de Propagação de Patches: Reconhecendo os diferentes protocolos proprietários empregados por sistemas industriais, os patches tendem a não se propagar entre fornecedores que usam código compartilhado. Os fornecedores do espaço industrial aplicam correções de software de acordo com diferentes horários. Consequentemente, mesmo quando um patch é lançado, os ativos industriais das organizações ainda podem estar vulneráveis e não ter acesso a uma correção de trabalho.
- Vida Estendida: Organizações com ativos industriais normalmente implantam ativos industriais por anos de cada vez. Ao fazê-lo, esses sistemas geralmente sobrevivem à janela de suporte. Isso significa que os fornecedores não disponibilizam atualizações de segurança para produtos mais antigos, mesmo quando lançam uma correção de software.
A Red Balloon Security manteve essas questões em consideração quando realizou um estudo de anos sobre vulnerabilidades do dia N em dispositivos ICS. Segundo a Central de Energia,os pesquisadores descobriram centenas de falhas do dia N no processo. Algumas dessas vulnerabilidades tinham mais de dois anos, enquanto muitas tinham um escore de segurança cvss de pelo menos 7/10. Essas falhas “críticas” deram aos atacantes a capacidade de obter acesso remoto a partes do ambiente industrial de uma organização e, em seguida, replicar os efeitos do Industroyer, TRITON, BlackEnergy, bem como outros ataques conhecidos. O pior de tudo, muitas dessas vulnerabilidades eram de baixa complexidade, pois exigiam pouco esforço de atores mal-intencionados para criar uma exploração de trabalho.
Como defender contra vulnerabilidades do dia N
De acordo com a Dark Reading, as organizações com ICSes não podem lidar adequadamente com a ameaça de falhas do dia N com uma abordagem reativa para patches. Eles precisam assar ferramentas de monitoramento de rede e outros controles de segurança em seus ambientes industriais usando uma abordagem de segurança proativa. Saiba como as soluções da Tripwire podem ajudar nesse sentido.
FONTE: TRIPWIRE