Event image

Když se bezpečnostní prvek stane nebezpečným

V oblasti IT se dnes drtivá většina společností chrání před kyberkriminálníky různými způsoby, nejčastěji nasazením jednoho či více bezpečnostních produktů. Může se však stát, že některý z těchto produktů bude napaden útočníky a stane se tak sám nebezpečný a chráněnou síť ohrozí? Bohužel musíme konstatovat, že stát se to může a historie již pamatuje několik takových případů.

Jedním z takových je případ z konce loňského roku, kdy vyšlo najevo že software pro vzdálenou správu stanic a serverů SolarWinds Orion byl napaden a útočníci využili jeho schopnosti šířit spustitelný kód a namísto updatů a záplat šířili malware. CISA (Cybersecurity & Infrastructure Security Agency) vydala 13. prosince 2020 direktivu v níž varuje před tímto bezpečnostním rizikem a nařizuje všem federálním úřadům ve Spojených státech okamžitou reakci, kromě okamžité kontroly, zda již nedošlo k útoku, tak také nejčastěji okamžité vypnutí platformy SolarWinds Orion. Seznam napadených institucí je docela impozantní, jsou zde i velmi dobře známá jména jako například US Pentagon, NASA, NSA a další.

Zde si dovolím jednu vsuvku – malware nazvaný Sunburst napadl pouze platformu SolarWinds Orion, nikoliv ostatní produkty z rodiny SolarWinds jako je například SolarWinds MSP N-Central a RMM. Více detailů můžete najít na tomto odkazu: https://www.solarwinds.com/securityadvisory

Jak takový útok prostřednictvím bezpečnostního produktu probíhá? Narušení systému SolarWinds Orion se sestává z několika úrovní. Serverová část platformy Orion se pravidelně aktualizuje z aktualizačních serverů. Právě tyto servery byly napadeny útočníky jako první a těm se podařilo na ně umístit škodlivý kód a tím jej zpřístupnit nic netušícím organizacím ke stažení. Po průniku do sítě obětí se útočníci vyhýbali detekci několika způsoby, prvním z nich je pozdržení jakékoliv akce, tedy kód se neaktivoval ihned, ale s odstupem 2 týdnů. Dále byli útočníci schopni kód digitálně podepsat a schovat v knihovně nazvané BusinessLayer.dll. A v neposlední řadě tento kód používá několik technik na detekci, zda není spuštěn v sandboxu. Obvykle mu postačí vyzkoušet „ping“ na známé síťové segmenty pro ověření, zda existují, a také na vlastní „základnu“.

Doposud se jednalo o klasické prolomení do sítě SolarWinds Orion a sítí jeho zákazníků. Avšak v tuto chvíli si musíme uvědomit, že se útočník ocitl doslova ve správnou chvíli na správném místě. Software, jenž je určen pro správu počítačů v síti, jejich aktualizace a instalaci případně deinstalaci aplikací, musí nutně disponovat dostatečně vysokými oprávněními například v podobě lokálního nebo doménového administrátora. A náš útočník má nyní tento software v tuto chvíli plně k dispozici a může tedy do všech zařízení ve spravované síti instalovat jakýkoliv další kód a samozřejmě jej také spouštět. Tím může začít konečná fáze útoku, jež se bude lišit oběť od oběti, útočník se bude rozhodovat dle zjištěných informací, čím pro něj síť oběti bude zajímavá.

Možná si nyní pomyslíte, že být v situaci oběti, tak postačí prosté vypnutí platformy Orion a nebezpečí již nebude hrozit. To však je velký omyl, neboť pokud útočník došel až do té fáze, kdy již plně síť kontroloval, mohl na libovolné další počítače nainstalovat jakýkoliv dodatečný kód a tím pádem ani vypnutí platformy pro správu jej nebezpečí nezbaví. Je třeba jednat proaktivně a proskenovat celou síť na přítomnost nebezpečného kódu.

Na situaci s kompromitací platformy Orion již zareagovali i ostatní výrobci a například společnost GFI přidala do svého produktu GFI LanGuard schopnost detekovat zranitelnosti způsobené touto kompromitací. A nejen to, LanGuard od GFI má velmi podobné schopnosti jako SolarWinds Orion, tedy možnost patch managementu, síťového auditu a navíc přidává právě schopnost skenování zranitelností na všech zařízeních v síti. Velmi pozitivní je přístup výrobce který poskytuje funkčně neomezenou zkušební verzi na 30 dní. Ve výchozím stavu je zkušební verze omezena na 25 IP adres, avšak jednoduchou žádostí u výrobce lze rozšířit podporu až na 10 tisíc zařízení.

Takto velkorysá nabídka jistě umožní všem společnostem postiženým zranitelností platformy Orion vyčistit jejich síť a zůstat plně chráněni po celou dobu.

Článek byl zveřejněn v časopise IT Systems č. 1-2/2021.

Kategorie:
GFI Blog

Mohlo by vás dále zajímat

03.12.2024
Společnost VESTTA BOZP s.r.o. svým klientům nabízí komplexní služby v oblasti bezpečnosti a ochrany zdraví při práci a požární ochraně. Jejími klienty jsou osoby samostatně výdělečně činné, firmy menší a střední velikosti, dále pak státní organizace, ...
27.11.2024
Neschopnost určit klíčové systémy vede k podcenění jejich zabezpečení a ke zvýšení rizik vážných provozních výpadků   PRAHA, 27. listopadu 2024 – Společnost GFI Software, dodavatel řešení bezpečnosti v podnikových sítích, uvedla, že chybné určení kri ...
26.11.2024
Nová aktualizace oceňované cloudové platformy nabízí další služby pro efektivnější MSP provoz PRAHA, 26. listopadu 2024 – Acronis, globální lídr na trhu řešení kybernetické ochrany, přidal do své MSP platformy Acronis Cyber Protect Cloud řadu nových ...
22.11.2024
Řízené služby ochrany koncových bodů jsou jedním z pilířů ke splnění  kyber bezpečnostních standardů NIS 2  PRAHA, 22. listopadu 2024 – Společnost ZEBRA SYSTEMS, distributor řešení N-able na českém a slovenském trhu, předs ...
13.11.2024
Certifikační školení Acronis MSP Academy poskytuje cenné znalosti a konkurenční výhodu na trhu PRAHA, 13. listopadu 2024 – Acronis, globální lídr na trhu řešení kybernetické ochrany, uvedla, partneři společnosti Acronis, kteří prošli školením a certi ...
07.11.2024
Vysoká úroveň zabezpečení e-mailového řešení pomáhá zdravotnickému zařízení mj. vyrovnat se s přísnými bezpečnostními předpisy včetně nároků NIS 2 PRAHA, 7. listopadu 2024 – Společnost GFI Software, dodavatel řešení bezpečnosti v podnikových sítích, ...
30.10.2024
Podle průzkumu GFI Software nevyužívá AI ke své činnosti pouze 26 % poskytovatelů IT PRAHA, 30. října 2024 – Společnost GFI Software, dodavatel řešení bezpečnosti v podnikových sítích, uvedla, že podle jejího dotazování provedeného mezi českými a slo ...
23.10.2024
Nedostatek vhodných IT specialistů na kybernetickou bezpečnost nutí organizace stále více využívat služeb MSP poskytovatelů PRAHA, 23. října 2024 – Společnost ZEBRA SYSTEMS, distributor řešení N-able na českém a slovenském trhu, uvedla, že v rámci j ...
15.10.2024
WAN Agent zjednodušuje a zefektivňuje skenování zranitelností v distribuovaných prostředích PRAHA, 15. října 2024 – Společnost GFI Software, dodavatel řešení bezpečnosti v podnikových sítích, ohlásila dostupnost GFI LanGuard WAN Agent, funkčnost umož ...
10.10.2024
Jako klíčové nástroje pro splnění evropské směrnice jsou považovány zálohování/obnova a ochrana koncových bodů PRAHA, 9. října 2024 – Acronis, globální lídr na trhu řešení kybernetické ochrany, představil výsledky dotazování mezi svými českými a slov ...