Target Internet Paling Menggoda

Jumlah aset yang terpapar terus meningkat, tetapi strategi keamanan yang ada tidak mengikuti. Permukaan serangan semakin kompleks, dan bagian yang sangat sulit adalah mencari tahu di mana harus fokus. Untuk setiap 1.000 aset di permukaan serangan, seringkali hanya ada satu yang benar-benar menarik bagi penyerang. Tapi bagaimana seorang bek bisa tahu yang mana?

Ini menjadi sangat sulit setelah Log4j. Bahkan Jen Easterly mengingatkan orang-orang bahwa menghitung apa yang ada di permukaan serangan Anda adalah cara utama untuk mengurangi insiden Log4j.

Saya orang yang cukup sibuk, jadi saya selalu mencari jalan yang paling tidak tahan — seperti kebanyakan penyerang. Kami harus beroperasi dengan anggaran terbatas, dan kemampuan teknis kami memiliki batas atas — kami bukan pesulap. Di sinilah membalik perspektif Anda tidak hanya akan membantu mengidentifikasi apa yang terekspos pada permukaan serangan Anda, tetapi juga apa yang paling mungkin menjadi sasaran penyerang. Saya jamin itu akan meningkatkan efisiensi tim Anda secara dramatis, mengurangi risiko secara keseluruhan, dan memastikan Anda selalu fokus pada aset bernilai tertinggi terlebih dahulu.

 

Randori menghabiskan beberapa waktu untuk meneliti perangkat lunak yang terpapar internet apa yang paling menggoda penyerang—kami menggunakan enam atribut yang kami menilai untuk menentukan bagian dari Skor Godaan perangkat lunak: enumerabilitas, eksploitabilitas, kekritisan, penerapan, potensi pasca-eksploitasi, dan potensi penelitian. Dengan menggunakan beberapa matematika dan algoritme yang rumit, kami mendapatkan Skor “Target Temptation”—pada dasarnya menghitung kemampuan serangan dari aset yang terhubung ke internet.

Dengan menggunakan penilaian ini, kami membuat daftar beberapa target menarik yang kami lihat di web, dan why.

Temptation Roll Call

Apa saja yang diketahui menggunakan Log4j. Log4j mengejutkan komunitas keamanan karena merupakan salah satu bagian kode pihak ketiga yang paling banyak digunakan dan sangat mudah dieksploitasi. Tim penyerang kami melakukan eksploitasi dalam waktu satu jam, dan dapat menggunakannya di lingkungan VMware langsung pada hari yang sama. Meskipun komunitas keamanan berkumpul secepat mungkin untuk menerapkan patch dan strategi remediasi, kemungkinan ada beberapa layanan yang masih menjalankan kode yang rentan. Karena sangat mudah untuk dieksploitasi dan variasi baru dari kerentanan Log4Shell kemungkinan besar akan muncul, itu akan menempati peringkat tinggi pada daftar penyerang mana pun.

VPNs, favorit pribadi saya. VPN dikenal melindungi hal-hal yang berharga, menjadikannya menarik secara intrinsik, namun sering kali tidak ditambal, salah konfigurasi, dan tidak terlindungi dengan baik. Seseorang tidak dapat menginstal perangkat lunak apa pun pada VPN untuk mempertahankannya. Jika penyerang mengeksploitasi perangkat yang satu ini, mereka dapat menjangkau perangkat tambahan yang dilindunginya. Mereka juga dikenal sebagai target eksploitasi; sebenarnya kami menemukan 9,8 CVE pada produk Global Protect Palo Alto.

Versi lama dari Solarwinds. Terlepas dari semua perhatian pada SolarWinds, satu dari 15 organisasi tampaknya menjalankan versi perangkat lunak yang rentan. Penyerang kemungkinan menempatkannya di urutan teratas daftar mereka karena 1) ada eksploitasi yang diketahui; 2) Solarwinds biasanya merupakan teknologi mission-critical untuk bisnis yang dapat memberikan akses istimewa kepada penyerang; dan 3) banyak digunakan. Satu eksploitasi dapat digunakan untuk melawan banyak.

Versi lama Microsoft IIS 6.Microsoft IIS 6 TIDAK didukung selama lebih dari setengah dekade. Itu benar, setengah dekade! Penyerang menyukai perangkat lunak lama yang terbuka yang tidak lagi didukung. Data kami menunjukkan 15 persen perusahaan memiliki setidaknya satu contoh IIS 6 yang diekspos secara online. Microsoft IIS versi 6 dikaitkan dengan Windows 2003, dan Microsoft berhenti mendukungnya pada tahun 2015. Pada tahun 2015! Dengan banyak kelemahan publik yang diketahui dan penerapan yang tinggi, IIS 6 adalah sesuatu yang mungkin diasumsikan beberapa orang sebagai honeypot, tetapi penyerang lebih tahu—ini adalah target yang menarik.

Versi lama Microsoft OWA. Microsoft Outlook Web Access (OWA) adalah solusi yang sangat banyak digunakan dengan banyak CVE yang dikenal publik. Ingat pelanggaran Windows Exchange dari tahun lalu yang berdampak pada 30.000 perusahaan? Terlepas dari risikonya, banyak perusahaan terus mengekspos OWA ke internet. Beberapa kerentanan yang diketahui dapat memberi penyerang akses jarak jauh dan diketahui dieksploitasi secara aktif.

Hal lain: Semakin banyak penyerang tahu tentang suatu sistem, semakin menggoda. Salah satu aspek yang sering menaikkan skor godaan OWA misalnya adalah penggunaan pengaturan default yang mengekspos informasi versi rinci. Layanan yang mengekspos nama, versi, dan lebih baik lagi, informasi konfigurasi, memudahkan penyerang untuk memeriksa silang untuk melihat apakah ada kerentanan publik yang diketahui atau eksploitasi yang dipersenjatai terhadap versi spesifik itu dan untuk mengonfirmasi apakah eksploitasi akan mendarat.

Pro tip: Selalu ubah pengaturan default agar nomor versi tidak terlihat oleh publik. Jika Anda tidak dapat menambalnya atau meningkatkannya, setidaknya sembunyikan.

The Defender’s Move
Ada sedikit persamaan yang digunakan untuk menentukan target paling menggoda di permukaan serangan. Meskipun tidak ada daftar pasti atribut yang digunakan musuh untuk menentukan apa yang akan dieksploitasi, logika di atas cukup universal di antara penyerang.
Tidak ada sistem yang akan sepenuhnya aman, tetapi membatasi informasi yang dapat diperoleh penyerang dari gerbang pergi jauh menuju mengambil angin dari layar mereka. Ini berarti mengubur informasi yang benar-benar penting di balik begitu banyak brankas yang gagal sehingga tidak sepadan dengan usaha penyerang. Ini dapat berarti menambahkan pencatatan/pemantauan, firewall aplikasi web, atau segmentasi ke aset penting pada permukaan serangan — atau bahkan membuat sistem offline sepenuhnya jika mereka tidak perlu berkomunikasi dengan internet.
Seperti biasa, segmentasi dan pertahanan jaringan model lama yang baik secara mendalam akan mendapatkan hasil yang lebih baik daripada apa yang akan Anda dapatkan sebaliknya.
David “moose” Wolpoff  adalah CTO di Randori.

Nikmati wawasan tambahan dari komunitas Infosec Insiders Threatpost dengan mengunjungi microsite kami.
Tulis komentar
Bagikan artikel ini:
uu

<

ul>iIoTliUu

<

ul>iInfosec Security

<

ul>

<

ul>iInfoseclibilitiesInfrastuktur Penting