0
0
Pequenas e médias empresas (PMEs) têm algum trabalho de segurança pela frente, já que dois grandes fornecedores de dispositivos de borda (Asus e Zyxel) anunciam vulnerabilidades críticas de segurança para corrigir — e outro (Western Digital) corta dispositivos sem patch da nuvem.
A Asus lançou um novo firmware em 19 de junho para corrigir nove vulnerabilidades separadas em vários modelos de roteadores da empresa, uma das quais poderia permitir que um invasor cibernético ganhasse capacidade de execução de código. Duas das falhas mais graves são uma fraqueza crítica de corrupção de memória no firmware do roteador Asus, rastreada sob CVE-2022-26376, e a segunda pode permitir que um agente de ameaça “alcance a execução arbitrária de código”, de acordo com o NIST, e remonta a 2018, rastreada sob CVE-2018-1160.
No mesmo dia, a Western Digital anunciou que bloqueou dispositivos que executam firmware não corrigido de sua nuvem a partir de 15 de junho.
Uma vulnerabilidade grave que afeta o MyCloud Home da Western Digital e outros dispositivos de armazenamento em nuvem pode levar à execução remota de código, de acordo com o NIST. Apesar do fato de que o bug, rastreado sob CVE-2022-36327, recebeu uma pontuação de gravidade de vulnerabilidade CVSS de 9,8 em 10, a falha era conhecida do público por um mês inteiro antes que os dispositivos afetados fossem bloqueados de acessar a nuvem da Western Digital.
Também nesta semana, a Zyxel lançou patches contra vulnerabilidades de injeção de código em três versões de seus dispositivos de armazenamento conectados à rede. A vulnerabilidade de injeção de comando de firmware é rastreada em CVE-2023-27992 e pode permitir que um usuário não autenticado execute comandos do sistema operacional.
Superfície de ataque cibernético de borda SMB explode
Esse excesso de avisos de patch de dispositivos de borda esta semana mostra o fato de que as PMEs estão cada vez mais em risco graças ao número explosivo de dispositivos de borda sendo conectados às suas redes. Para se ter uma ideia da escala da superfície de ataque de endpoint, os especialistas estimam em mais de 12 bilhões o número de dispositivos ativos de Internet das Coisas (IoT) e de borda em todo o mundo. Esse número deve chegar a 27 bilhões até 2025.
Ao mesmo tempo, muitas dessas organizações são lamentavelmente carentes de higiene e monitoramento básicos de segurança cibernética. No início, os dispositivos de borda podem parecer uma escolha econômica para construir uma infraestrutura SMB, mas são muito mais difíceis de proteger, explica Melissa Bischoping, diretora de pesquisa de segurança de endpoint da Tanium.
“Para pequenas empresas, usar roteadores e dispositivos SOHO (Small Office-Home-Office) geralmente é uma solução econômica”, diz ela, “mas a falta de monitoramento e gerenciamento centralizado em muitos desses dispositivos pode resultar em vulnerabilidades e configurações inseguras que fornecem acesso fácil a um adversário”.
Enquanto isso, sem perder uma oportunidade, os atores de ameaças estão aproveitando ao máximo esse ponto ideal.
“A infraestrutura de borda é um alvo incrivelmente atraente para os invasores porque geralmente não tem a profundidade de monitoramento e visibilidade que os endpoints têm, e é sempre pública por design, removendo um obstáculo inicial para o acesso”, explica Bischope.
Tornando esses dispositivos uma marca ainda mais suave, muitos são construídos com componentes de código aberto, diz John Gallagher, vice-presidente da Viakoo Labs.
“Dispositivos de borda como roteadores, unidades NAS, câmeras IP e outros sistemas IoT/OT são a parte de crescimento mais rápido da superfície de ataque de uma organização devido ao uso de componentes de software de código aberto e muitas vezes não gerenciados e monitorados”, explica Gallagher. “As soluções tradicionais de segurança de TI baseadas em agentes não funcionam para dispositivos IoT/OT que exigem soluções sem agente.”
Como as PMEs podem proteger a borda
Proteger a borda SMB começa com saber o que há para proteger, de acordo com Gallagher.
“Primeiro, certifique-se de ter um inventário completo de dispositivos usando uma solução de descoberta de ativos sem agente”, diz Gallagher.
Uma vez que as equipes de segurança cibernética tenham visibilidade sobre o que há para defender, essas informações podem ser usadas para direcionar recursos de forma eficaz, acrescenta Bischhope.
“Priorize a visibilidade dos ativos de borda e aproveite essas informações para abordar a aplicação de patches, o gerenciamento de credenciais e a proteção da configuração como parte de sua higiene e controles de segurança contínuos”, diz ela. “Outras vitórias rápidas incluem garantir que você tenha alternado as credenciais de login padrão nesses dispositivos, empregado mecanismos de autenticação seguros e imposto acesso de privilégios mínimos para quaisquer contas que possam fazer login nesses dispositivos.”
E, para lidar com atualizações de firmware e senha na escala necessária para IoT e dispositivos de borda, Gallagher recomenda uma abordagem automatizada.
Comentando sobre como as PMEs podem gerenciar a borda de forma mais eficaz, as organizações também devem considerar se os dispositivos precisam estar conectados à Internet ou se seriam mais adequados para uma conexão de rede interna mais segura, aconselha Matthew Morin, diretor sênior de gerenciamento de produtos da NetRise.
“No caso de muitas vulnerabilidades anunciadas pela Asus, Zyxel e Western Digital, garantir que os dispositivos afetados fossem acessíveis apenas por meio de redes internas teria reduzido drasticamente o impacto das vulnerabilidades”, recomenda Morin. “As PMEs devem entender o que é divulgado publicamente de suas redes e revisar regularmente se o que é exposto precisa estar lá.”
As equipes também devem procurar dispositivos sem proprietário ou propósito específico e puxar a tomada. “Por fim, certifique-se de que os dispositivos tenham propriedade clara e rastreamento de seu gerenciamento de ciclo de vida, para que os dispositivos que entram em fim de vida útil ou fim de suporte possam ser substituídos antes de serem explorados.” Gallagher acrescenta.
Uma vez que esses processos estejam em vigor, Morin diz que o próximo passo para organizações mais maduras é incorporar listas de materiais de software (SBOMs) para maior visibilidade.
“Para organizações mais maduras, um bom próximo passo é garantir que elas tenham visibilidade em nível de componente, como um SBOM para dispositivos conectados à rede”, acrescenta Morin. “Neste caso, com um SBOM, uma organização poderia estar ciente desse risco bem antes de o fornecedor decidir corrigir o problema.”
FONTE: DARK READING