Giu 17, 2024 Approfondimenti, Attacchi, Minacce, News, RSS, Vulnerabilità

Il panorama delle minacce è diventato molto complesso e per le organizzazioni è sempre più difficile proteggersi. Le reti aziendali sono piene di vulnerabilità, spesso critiche, che possono essere sfruttate dagli attaccanti con tool avanzati capaci di eludere anche i migliori strumenti di sicurezza.

Individuare queste vulnerabilità non è semplice e una scansione non è quasi mai sufficiente; per questo è consigliabile affidarsi a soluzioni di penetration testing automatizzate capaci di identificare velocemente le criticità della rete aziendale e notificarle ai team, i quali possono poi agire per risolverle.

Vonahi Security, la firma dietro vPenTest, un piattaforma per il penetration testing automatico della rete, ha utilizzato la propria soluzione per analizzare le debolezze delle reti aziendali di più di 1.200 organizzazioni. Nel suo report annuale, “The Top 10 Critical Pentest Findings 2024“, a fronte di più di 10.000 test automatici, ha elencato le 10 vulnerabilità più critiche che possono essere sfruttate, indicando alle aziende come gestirle.

Spoofing del Multicast DNS

Il Multicast DNS è un protocollo usato per risolvere i nomi DNS senza usare un server locale. Poiché invia richieste alla sottorete locale per scoprire l’IP richiesto, un attaccante può sfruttare questo meccanismo inviando l’IP del proprio sistema. Per proteggersi da questo exploit occorre disabilitare Multicast DNS a meno che non sia assolutamente necessario usarlo.

A seconda del servizio con cui la vittima stava cercando di comunicare, un attaccante potrebbe essere in grado di ottenere informazioni sensibili e le credenziali dell’account in hash. La vulnerabilità ha un punteggio di 9.8 su 10 (critico) nella scala CVSS 3.1.

Spoofing del NetBIOS Name Service

Tra le vulnerabilità più interessanti, Vonahi Security elenca anche quella che colpisce il NetBIOS Name Service (NBNS), un protocollo usato tra workstation di una rete interna per, ancora una volta, risolvere un nome DNS quando non c’è un server locale. Quando un sistema deve risolvere un nome e non può accedere a un server configurato, invia un pacchetto NBNS broadcast nella rete locale per ottenere la risposta.

Anche in questo caso, dal momento che le query vengono inviate in broadcast attraverso la rete, qualsiasi sistema può rispondere alle query con un indirizzo IP, compreso quello dell’attaccante. Pr proteggersi da questo tipo di attacchi è possibile configurare la chiave di registro UseDnsOnlyForNameResolutions per evitare che i sistemi ricorrano all’NBNS o disabilitare del tutto il servizio per gli host nella rete.

Spoofing del Link-Local Multicast Name Resolution

Anche il terzo exploit sfrutta la risoluzione dei nomi DNS in mancanza di server DNS o in caso non riesca a fornire l’indirizzo IP, in questo caso sfruttando il protocollo Link-Local Multicast Name Resolution (LLMNR). Nel caso in cui un sistema non riesce a comunicare col server DNS o risolvere il nome con questo meccanismo, invia una richiesta LLMNR broadcast a cui chiunque può rispondere con un IP.

Il modo più efficace per evitare che questa vulnerabilità venga sfruttata è usare le group policy per disabilitare l’LLMNR o modificare il registro di sistema (in caso di WIndows Vista/7/10 Home Edition).

Spoofing del DNS IPv6

Lo spoofing del DNS IPv6 può essere eseguito sfruttando la possibilità di creare un server DHCPv6 nella rete interna e usarlo per scopi malevoli. “Poiché i sistemi Windows preferiscono IPv6 rispetto a IPv4, i client con IPv6 preferiranno ottenere indirizzi IP da un server DHCPv6 quando disponibile” spiegano i ricercatori di Vonahi Security.

Eseguendo un server DHCPv6, un attaccante può intercettare le richieste DNS riconfigurando i client in modo che usino il suo sistema come server DNS. L’attaccante potrebbe a questo punto ottenere informazioni sensibili, incluse le credenziali utente.

Per proteggersi dall’attaccato è consigliato disabilitare IPv6, se non viene utilizzato per operazioni centrali per il business, oppure implementare una guardia DHCPv6 sugli switch di rete, per garantire che solo i DHCP server presenti in una lista specifica possano comunicare coi client.

Sistemi Windows obsoleti tra le vulnerabilità più critiche

Tra le vulnerabilità più critiche scoperte dall’analisi c’è la presenza di sistemi Windows obsoleti che non ricevono più update, quindi vulnerabili. Con una gravità di 9.8 su 10, questa vulnerabilità è una di quelle più sfruttate dagli attaccanti per ottenere accesso non autorizzato ai sistemi e poi spostarsi nella rete.

In questo caso è consigliato aggiornare le versioni obsolete di Windows con quelle più nuove o con altri sistemi operativi supportati dal produttore.

Bypass dell’autenticazione IPMI

L’Intelligent Platform Management Interface (IPMI) è una soluzione hardware che permette agli amministratori di rete di controllare e gestire i server in maniera centralizzata. Impostando un server con IPMI, alcuni di essi potrebbe avere delle vulnerabilità che consentono a un attaccante di bypassare il controllo di autenticazione e ottenere l’hash della password.

Al momento non esistono patch per questo problema. I ricercatori di Vonahi Security consigliano o di restringere l’accesso IPMI a un numero limitato di sistemi, o di disabilitare il servizio se non è indispensabile, o di scegliere una password robusta, oppure usare solo protocolli sicuri per il servizio in modo da ridurre la probabilità di attacchi man-in-the-middle.

La vulnerabilità BlueKeep di Windows

Durante i test, i ricercatori hanno scoperto che molti sistemi erano vulnerabili alla CVE-2019-0708, bug conosciuto come come BlueKeep che consente a un attaccante non autenticato di sfruttare RDP per collegarsi al sistema target e prenderne il controllo. Il team di Vonahi Security spiega che questa vulnerabilità è particolarmente apprezzata dagli attaccanti perché esistono molti tool che consentono di sfruttarla facilmente.

Per proteggersi da questo exploit è necessario aggiornare i sistemi vulnerabili il prima possibile.

Il riutilizzo della password di amministratore locale

L’analisi di Vonahi Security ha dimostrato che molti sistemi usano la stessa password di amministratore locale. Utilizzare la stessa password su più sistemi aumenta significativamente il rischio di compromissione, permettendo agli attaccanti di avere il controllo potenzialmente dell’intera rete.

È fondamentale in questo caso usare soluzioni come LDAP per assicurarsi che le password locali di più sistemi siano diverse tra loro.

EternalBlue

Nella lista di vulnerabilità critiche c’è spazio per un altro bug di Windows: si tratta di EternalBlue, un exploit che sfrutta una vulnerabilità di SMB. Il bug, scoperto nel 2017, è stato patchato da Microsoft, ma visto il ritardo nelle installazioni dell’update, è stato sfruttato con successo per gli attacchi del ransomware WannaCry.

Per sfruttare questa vulnerabilità non c’è bisogno di effettuare escalation dei privilegi, il che la rende particolarmente facile da sfruttare. Un attaccante, sfruttando l’exploit, può ottenere password in chiaro o hash e spostarsi lateralmente in rete.

Command injection in Dell EMC iDRAC7/iDRAC8

L’ultima vulnerabilità degna di nota colpisce l’Integrated Dell Remote Access Controller (iDRAC) 7 e 8, la piattaforma Dell per la gestione dei server PowerEdge. Le versioni della piattaforma precedente alla 2.52.52.52 sono vulnerabili a un bug di command injection che permette a un attaccante di eseguire comandi con privilegi di root e ottenere il controllo completo dei dispositivi iDRAC. Il consiglio è di aggiornare il firmware il prima possibile.

“Abbiamo scoperto che la causa principale delle vulnerabilità critiche trovate col pentesting continuano a essere i punti deboli delle configurazioni e le mancanze nel processo di patching” afferma Alton Johnson, fondatore e Principal Security Consultant di Vonahi Security. “Questi due grandi problemi dimostrano da soli la necessità di effettuare penetration test frequenti. Sebbene l’approccio classico per i test sia sempre stato quello di eseguirli una volta all’anno, i controlli continui forniscono un valore significativo nell’identificazione di problemi quasi in tempo reale“.

• command injection, DNS, eternal blue, penetration testing, penetration testing automatizzato, spoofing