Топ-10 важнейших результатов Pentest 2024: что вам нужно знать

[Tomcat]

Один из наиболее эффективных способов для специалистов в области информационных технологий выявить слабые места компании до того, как это сделают плохие парни, - это тестирование на проникновение. Имитируя реальные кибератаки, тестирование на проникновение, иногда называемое pentests, дает бесценную информацию о состоянии безопасности организации, выявляя слабые места, которые потенциально могут привести к утечке данных или другим инцидентам безопасности.

Vonahi Security, создатели vPenTest, платформы автоматизированного тестирования сетей на проникновение, только что опубликовали свой ежегодный отчет "10 важнейших результатов Pentest в 2024 году". В этом отчете Vonahi Security провела более 10 000 автоматизированных сетевых pentestов, в результате чего были выявлены 10 лучших результатов внутреннего сетевого pentest в более чем 1200 организациях.

Давайте углубимся в каждое из этих важнейших результатов, чтобы лучше понять распространенные уязвимости, с которыми сталкиваются организации, и способы их эффективного устранения.

10 лучших результатов и рекомендаций Pentest​

1. Подмена многоадресной DNS (MDNS)​

Многоадресная рассылка DNS (mDNS) - это протокол, используемый в небольших сетях для разрешения DNS-имен без локального DNS-сервера. Он отправляет запросы в локальную подсеть, позволяя любой системе отвечать запрошенным IP-адресом. Этим могут воспользоваться злоумышленники, которые могут в ответ указать IP-адрес своей собственной системы.

Рекомендации:

Наиболее эффективным методом предотвращения использования является полное отключение MDNS, если оно не используется. В зависимости от реализации этого можно добиться путем отключения службы Apple Bonjour или avahi-daemon

2. Подмена имен службой NetBIOS (NBNS)​

Служба имен NetBIOS (NBNS) - это протокол, используемый во внутренних сетях для разрешения DNS-имен, когда DNS-сервер недоступен. Он передает запросы по сети, и любая система может ответить запрошенным IP-адресом. Этим могут воспользоваться злоумышленники, которые могут использовать в ответ IP-адрес своей собственной системы.

Рекомендации:

Ниже приведены некоторые стратегии предотвращения использования NBNS в среде Windows или уменьшения воздействия атак с подменой NBNS:

• Настройте раздел реестра UseDnsOnlyForNameResolutions, чтобы системы не могли использовать запросы NBNS (NetBIOS через параметры конфигурации TCP / IP). Установите для DWORD реестра значение
• Отключите службу NetBIOS для всех хостов Windows во внутренней сети. Это можно сделать с помощью параметров DHCP, настроек сетевого адаптера или раздела реестра

3. Подмена разрешения имен локальной многоадресной рассылки (LLMNR) по ссылке​

Разрешение локальных многоадресных имен (LLMNR) - это протокол, используемый во внутренних сетях для разрешения DNS-имен, когда DNS-сервер недоступен. Он транслирует запросы по сети, позволяя любой системе отвечать запрошенным IP-адресом. Этим могут воспользоваться злоумышленники, которые могут отвечать IP-адресом своей собственной системы.

Рекомендации:

Наиболее эффективным методом предотвращения использования является настройка раздела реестра разрешения имен многоадресной рассылки, чтобы системы не могли использовать запросы LLMNR.

• Использование групповой политики: Конфигурация компьютера \ Административные шаблоны \ Сеть \ DNS-клиент \ Отключить разрешение многоадресных имен = Включено (Для администрирования Windows 2003 DC используйте инструменты удаленного администрирования сервера для Windows 7)
• Использование реестра только для Windows Vista / 7 / 10 Home Edition: HKEY_LOCAL_MACHINE\SOFTWARE\ Policies \ Microsoft\ Windows NT \DNSClient \EnableMulticast

4. Подмена IPV6 DNS​

Подмена DNS IPv6 происходит, когда в сети развернут вредоносный сервер DHCPv6. Поскольку системы Windows предпочитают IPv6, а не IPv4, клиенты с поддержкой IPv6 будут использовать сервер DHCPv6, если он доступен. Во время атаки этим клиентам назначается DNS-сервер IPv6, при этом они сохраняют свои конфигурации IPv4. Это позволяет злоумышленнику перехватывать DNS-запросы путем перенастройки клиентов для использования системы злоумышленника в качестве DNS-сервера.

Рекомендации:

Отключайте IPv6, если это не требуется для бизнес-операций. Поскольку отключение IPv6 потенциально может вызвать перебои в работе сетевых служб, настоятельно рекомендуется протестировать эту конфигурацию перед массовым внедрением. Альтернативным решением было бы внедрить DHCPv6 guard на сетевых коммутаторах. По сути, DHCPv6 guard гарантирует, что только авторизованный список DHCP-серверов может назначать договоры аренды клиентам.

5. Устаревшие системы Microsoft Windows​

Устаревшая система Microsoft Windows уязвима для атак, поскольку она больше не получает обновлений системы безопасности. Это делает ее легкой мишенью для злоумышленников, которые могут воспользоваться ее слабостями и потенциально переключиться на другие системы и ресурсы в сети.

Рекомендации:

Замените устаревшие версии Microsoft Windows актуальными операционными системами, которые поддерживаются производителем.

6. Обход аутентификации IPMI​

Интеллектуальный интерфейс управления платформой (IPMI) позволяет администраторам централизованно управлять серверами. Однако некоторые серверы имеют уязвимости, которые позволяют злоумышленникам обходить аутентификацию и извлекать хэши паролей. Если пароль установлен по умолчанию или ненадежен, злоумышленники могут получить пароль открытым текстом и получить удаленный доступ.

Рекомендации:

Поскольку для этой конкретной уязвимости не доступно исправление, рекомендуется выполнить одно или несколько из следующих действий.

• Ограничьте доступ к IPMI для ограниченного числа систем - систем, которым требуется доступ для целей администрирования.
• Отключите услугу IPMI, если она не требуется для бизнес-операций.
• Измените пароль администратора по умолчанию на надежный и сложный.
• Используйте в сервисе только безопасные протоколы, такие как HTTPS и SSH, чтобы ограничить шансы злоумышленника на успешное получение этого пароля при атаке "человек посередине".

7. Microsoft Windows RCE (BlueKeep)​

В ходе тестирования были выявлены системы, уязвимые для CVE-2019-0708 (BlueKeep). Эта уязвимость Microsoft Windows легко эксплуатируется благодаря доступным инструментам и коду, позволяющим злоумышленникам получить полный контроль над уязвимыми системами.

Рекомендации:

Рекомендуется устанавливать обновления для системы безопасности в уязвимой системе. Кроме того, организации следует оценить свою программу управления исправлениями, чтобы определить причину отсутствия обновлений для системы безопасности. Поскольку эта уязвимость является широко используемой и может привести к значительному доступу, ее следует немедленно устранить.

8. Повторное использование пароля локального администратора​

В ходе внутреннего теста на проникновение было обнаружено, что многие системы используют один и тот же пароль локального администратора. Компрометация одной учетной записи локального администратора предоставила доступ к нескольким системам, значительно увеличив риск широкомасштабного компрометации внутри организации.

Рекомендации:

Используйте такое решение, как Microsoft Local Administrator Password Solution (LDAPS), чтобы убедиться, что пароль локального администратора в нескольких системах не соответствует друг другу.

9. Microsoft Windows RCE (EternalBlue)​

В ходе тестирования были выявлены системы, уязвимые для MS17-010 (EternalBlue). Эта уязвимость Windows легко эксплуатируется благодаря доступным инструментам и коду, позволяющим злоумышленникам получить полный контроль над уязвимыми системами.

Рекомендации:

Рекомендуется устанавливать обновления для системы безопасности в уязвимой системе. Кроме того, организации следует оценить свою программу управления исправлениями, чтобы определить причину отсутствия обновлений для системы безопасности. Поскольку эта уязвимость является широко используемой и может привести к значительному доступу, ее следует немедленно устранить.

10. Dell EMC IDRAC 7/8 CGI Injection (CVE-2018-1207)​

Dell EMC iDRAC7 / iDRAC8 версий до 2.52.52.52 уязвимы для CVE-2018-1207, проблемы с внедрением команд. Это позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять команды с правами root, предоставляя им полный контроль над устройством iDRAC.

Рекомендации:

Обновите встроенное ПО до последней возможной версии.

Распространенные причины критических результатов Пентеста​

Хотя каждое из этих результатов было получено в результате разных эксплойтов, у многих из них есть кое-что общее. Основными причинами многих важнейших результатов pentest по-прежнему являются недостатки конфигурации и исправления.

Недостатки конфигурации ​

Недостатки конфигурации обычно возникают из-за ненадлежащего обеспечения безопасности служб в системах, развернутых администраторами, и содержат такие проблемы, как слабые учетные данные / данные по умолчанию, излишне открытые службы или чрезмерные разрешения пользователя. Хотя некоторые слабые места конфигурации могут быть использованы в ограниченных обстоятельствах, потенциальное воздействие успешной атаки будет относительно высоким.

Устранение недостатков ​

Недостатки при исправлении по-прежнему остаются серьезной проблемой для организаций и обычно возникают по таким причинам, как совместимость и, зачастую, проблемы с конфигурацией в решении для управления исправлениями.

Только эти две основные проблемы доказывают необходимость частого тестирования на проникновение. Хотя тестирование раз в год было обычным подходом к тестированию на проникновение, текущее тестирование обеспечивает значительную ценность в выявлении существенных пробелов ближе к контексту реального времени и показывает, как риски безопасности могут привести к значительным компромиссам. Например, сканер Nessus от Tenable может идентифицировать LLMNR, но только как информационный. Ежеквартальное или ежемесячное тестирование на проникновение в сеть с помощью vPenTest от Vonahi не только выявляет эти проблемы, но и объясняет их потенциальное влияние.

Что такое vPenTest?​

vPenTest - ведущая полностью автоматизированная платформа для тестирования сетей на проникновение, которая активно помогает снизить риски безопасности и утечки данных в ИТ-среде организации. Это устраняет трудности с поиском квалифицированного тестировщика проникновения в сеть и предоставляет качественные результаты, в которых сообщается, какие уязвимости были выявлены, какой риск они представляют для организации, а также о том, как устранить эти уязвимости с технической и стратегической точек зрения. Самое главное, это может помочь укрепить возможности организации в области комплаенс-менеджмента.

vPenTest: ключевые особенности и преимущества​

• Комплексные оценки: Проведите как внутренние, так и внешние тесты, чтобы тщательно изучить все потенциальные точки входа в вашу сеть.
• Моделирование в реальном мире: Имитируйте реальные киберугрозы, чтобы получить ценную информацию о состоянии вашей безопасности.
• Своевременная отчетность, требующая принятия мер: Получайте подробные, простые для понимания отчеты с уязвимостями, их последствиями и рекомендуемыми действиями.
• Текущее тестирование: Установите ежемесячные интервалы тестирования, чтобы обеспечить упреждающие и оперативные меры безопасности.
• Эффективное реагирование на инциденты: Выявляйте уязвимости на ранней стадии, чтобы эффективно подготовиться к потенциальным инцидентам безопасности.
• Соответствие требованиям: Соответствует нормативным требованиям, таким как SOC2, PCI DSS, HIPAA, ISO 27001 и требованиям киберстрахования.

Получите бесплатную пробную версию уже сегодня и убедитесь, насколько легко использовать vPenTest для упреждающего выявления рисков кибератак в режиме реального времени.

Попробуйте vPenTest бесплатно!