Таинственные EASM и где они обитают. Часть 1. Кто ты?
Полный текст исследования опубликован здесь: (https://www.cyberok.ru/docs/CyberOK-EASM-Review-202312.pdf).
В современном мире практически любая организация имеет собственный ресурс в Интернете, который может предоставлять клиентам различные возможности. Сам ресурс может представлять из себя небольшой лендинг с прайс-листом и контактной информацией, интернет-магазин, портал или форум.
С ростом количества таких ресурсов и увеличением вычислительной мощи компьютеров количество кибератак неуклонно растёт, о чем свидетельствуют некоторые цифры:
Согласно отчёту Google, в более чем половине случаев атак на облачные системы стал использоваться перебор (brute force) учетных данных, также злоумышленники при атаках на облачные системы эксплуатировали уязвимости в программном обеспечении в 36,7% случаев.
«Positive technologies» в отчёте за 2022 год приводит следующую статистику: «Число успешных атак, направленных на веб-ресурсы организаций, увеличилось на 56%. Если в 2021 году веб-ресурсы компаний становились объектами атак в 17% случаев, то в 2022 году доля таких инцидентов составила 22%».
Расследование массовых взломов 1С-Битрикс компании СайберОК показало, что злоумышленники могут годами использовать известные уязвимости для доступа к системам.
Актуальность
Стоит выделить некоторые причины, по которым атаки на ресурсы, имеющие прямой выход в Интернет, становятся возможными:
Неправильная конфигурация сетевого доступа и недостатки конфигурации приложений
Некоторые устройства, реализующие серверные протоколы, не должны иметь выход в Интернет или должны быть доступны только с помощью VPN. Пренебрежение этим принципом может позволить злоумышленникам, при обнаружении такого устройства, нарушить производство, что повлечет за собой как репутационные, так и финансовые потери.
К этой же категории можно отнести общедоступные страницы сайтов, содержащие конфигурационную информацию, панели для администраторов или описание API, доступ к которым должен быть ограничен.
Согласно данным «Paloalto», в 2022 году четверть проблем, связанных с общедоступными ресурсами, заключалась в открытых RDP-серверах, 17% из которых были с открытыми страницами входа для администраторов.
Устаревшее ПО
Обновления для различных компонентов, с помощью которых разработано веб-приложение, зачастую содержат исправления уязвимостей.
Ярким примером может служить случай, произошедший в мае 2023 года: массовый дефейс веб-ресурсов, использующих CMS »1С-Битрикс: Управление сайтом». Массовые взломы были проведены загодя, начиная с 2022 года через известные уязвимости (включая CVE-2022–27228), а целями атакующих являлись все не обновлённые версии »1С-Битрикс: Управление сайтом». Своевременное обновление данного ПО могло бы предотвратить компрометацию большей части ресурсов.
Новые уязвимости
Ежемесячно в популярном программном обеспечении экспертами выявляются новые уязвимости, позволяющие злоумышленникам, действующим удалённо, получать доступ к конфиденциальной информации.
В случае объемной инфраструктуры в организации отслеживать и контролировать вручную все версии ПО, новые уязвимости и конфигурацию сети может быть непросто.
Для того, чтобы упростить эту задачу, могут использоваться сервисы для управления поверхностью атаки (Attack Surface Management, ASM-сервисы). Поверхность атаки, согласно определению Национального Института Стандартов и Технологий США, представляет собой совокупность точек на границе системы, системных элементов или среды, к которым злоумышленник может попытаться получить доступ, воздействовать на них или извлечь из них данные.
ASM-сервисы предоставляют результаты пользовательских запросов в виде IP-адресов, доменов, связанных с этими адресами, информацию об открытых портах и запущенных сетевых службах. Некоторые ASM-сервисы анализируют версии программного обеспечения, установленного на исследуемом хосте, и предоставляют информацию о потенциальных уязвимостях.
Методология, ожидаемые результаты
В статье представлены результаты анализа по заданным критериям для сравнения ASM-сервисов. Определены слабые и сильные моменты, возможности, принципы работы и специфика различных ASM.
В фокус исследования попали системы, отобранные по географическому признаку: в выборку вошли представители США, Кореи, Армении и Китая: Shodan, Censys, Criminal IP, Netlas, Hunter.how.
Для сравнения применялся ряд критериев:
периодичность сканирования;
количество сканируемых портов, поддерживаемых протоколов и проб сетевых сервисов;
общее количество обнаруживаемых устройств и сетевых сервисов;
выявление ошибок конфигурации и уязвимостей, с присвоенным идентификатором CVE (Common Vulnerabilities and Exposures);
качественные характеристики.
Результаты исследования, проведенного экспертами CyberOK, могут помочь определиться с выбором ASM-системы для решения той или иной задачи.
1.1 Сравнение ASM по периодичности сканирования
Актуальность данных является важнейшим фактором при использовании ASM-систем. Своевременное обновление результатов сканирования узлов компаний, имеющих выход в Интернет, помогает быстрее выявить и исправить уязвимости, и, как следствие, снизить вероятность успешных атак на инфраструктуру этой компании. Актуальность данных в ASM-системах, в свою очередь, обеспечивается систематическим сканированием сети.
Shodan сканирует весь Интернет не реже 1 раза в неделю, но дополнительно можно использовать API этого сервиса для сканирования в любой нужный момент — подробная информация об этом представлена на официальном сайте сервиса.
Для получения информации о периодичности сканирований сервиса Criminal IP были проанализированы узлы, расположенные в разных странах (РФ, США, Германия). Рассматривалась даты обновлений информации для популярных открытых портов (80, 443, 22 и т.д.).
Netlas обладает возможностями выполнения запросов и получения результатов сканирований в рамках выделенных временных диапазонов. Один временной диапазон соответствует одному периоду сканирования Сети, пример диапазонов можно увидеть на скриншоте сервиса:
Рисунок 1.
По информации с официального GITHUB-репозитория сервиса, Hunter.how ежедневно сканирует все 65 535 портов пространства IPv4 и с той же периодичностью обновляет данные сканирований свыше 40 млн. сервисов.
Censys в своём сервисе сосредоточен на задачах глобального сканирования популярных портов, сканирования облачных провайдеров (таких как Amazon, Google и Azure), глобального сканирования наименее популярных портов (3455 портов на пространстве IPv4) и сканирования всех портов пространства IPv4 с низкой фоновой скоростью. Подробная информация об этом представлена на официальном сайте сервиса.
На основании полученных результатов можно сделать вывод, что наиболее высокая периодичность сканирования всего Интернета осуществляется ASM-сервисами Shodan и Hunter.how. Однако остальные ASM-системы обладают и могут предоставлять особые возможности и более специализированные результаты сканирований.
Таблица 1. Периодичность сканирования.
1.2 Сравнение ASM по количеству обнаруживаемых ими устройств и сетевых сервисов
Поскольку при обработке пользовательского запроса ASM-системы не производят сканирование всей сети, а лишь выполняют поиск по сохранённым результатам, важной характеристикой является количество обнаруженных сетевых сервисов и узлов во время регулярного сканирования всего Интернета. Информация о количестве обнаруживаемых сетевых сервисах представлена в Таблице 2. В Таблице 3 представлена информация о количестве обнаруженных в РФ сетевых сервисах. В Таблице 4 представлена информация о количестве обнаруженных в РФ узлах.
Важно заметить, что в контексте этого раздела «сетевой сервис» означает запись в базе данных (БД) с результатами сканирования ASM, которую можно найти поисковым запросом. Некоторые ASM разделяют на разные записи в БД сетевые сервисы, которые доступны по разным URI (иногда даже URL), поэтому полученные значения не полностью однородны.
Анализ таблицы показывает, что по количеству обнаруженных сетевых сервисов в мире лидирует Hunter.how, а по количеству узлов — Censys. По количеству обнаруживаемых сетевых сервисов и узлов в РФ лидирует Hunter.how. Такой результат говорит о том, что вероятность найти уязвимые узлы выше при использовании именно этого сервиса.
1.3 Категории протоколов
Поскольку цель ASM-системы заключается не только в обнаружении устройства в сети, но и в определении потенциальных уязвимых мест, важными первичными задачами являются:
обнаружение открытых портов;
определение сетевых протоколов;
определение программного обеспечения (ПО).
Для определения программного обеспечения системы класса ASM отправляют сетевые запросы, которые условно можно разделить на два типа:
стандартные запросы, соответствующие сетевому протоколу;
нестандартные запросы, специфичные для определённого ПО.
Из-за того, что под термином «протокол» различные системы подразумевают разные понятия, следует дать определения терминам, которые используются в рамках данной статьи:
Пробы протоколов — способ определения протоколов прикладного уровня модели OSI (The Open Systems Interconnection model), путём отправки соответствующего стандартного сетевого запроса.
Пробы сетевого сервиса — совокупность стандартных и нестандартных сетевых запросов.
Так как количество обнаруживаемых открытых портов, проб сетевых сервисов и поддерживаемых протоколов является хорошей сравнительной характеристикой ASM-систем, была получена информация об этих параметрах для рассматриваемых систем. Результаты представлены в Таблице 5.
На основании полученного результата можно сделать вывод о том, что наибольшее количество обнаруживаемых портов представлено ASM-системой Censys, а наибольшее количество проб сетевых сервисов и поддерживаемых протоколов — системой Shodan.
Большее количество поддерживаемых протоколов делает ASM-систему более гибкой, позволяет находить более критичные и менее защищённые устройства. Ярким примером служат ПЛК (Программируемые Логические Контроллеры) в системах АСУ ТП (Автоматизированные Системы Управления Технологическим Процессом): данные устройства предназначены для работы в реальном времени и, в силу того, что приоритетным для них является быстродействие и способность обрабатывать большие объемы данных, при разработке прошивок для них, механизмам защиты уделяется меньше внимание. В то же время, уязвимый ПЛК может иметь выход в Интернет, что позволяет злоумышленнику проэксплуатировать уязвимость и нарушить процесс производства. Другими примерами «ценных находок» для злоумышленника являются контроллеры управления материнскими платами или медицинское оборудование.
До скорой встречи в Части 2! Подписывайтесь на наш Хабр, что не пропустить обновления.
Автор: Пушкин Максим, специалист направления развития экспертизы CyberOK.
