.png)
NOM : WRECK Takeaways — Comment la microsegmentation peut contribuer à la visibilité et au confinement
L'ensemble de vulnérabilités NAME:WRECK permet aux attaquants de compromettre à distance des serveurs critiques et des appareils IoT, y compris ceux situés derrière des pare-feux périmétriques, en exploitant les failles de leur gestion des réponses du système de noms de domaine (DNS). Des centaines de millions d'appareils dans le monde, y compris des technologies de santé, des appareils intelligents et des équipements industriels, pourraient potentiellement être compromis à l'aide de NAME:WRECK.
Une étude récemment publiée par Forescout et JSOF détaille cet ensemble de vulnérabilités qui tirent parti de l'analyse des réponses DNS. Ces défauts se trouvent dans les piles TCP/IP de nombreux systèmes d'exploitation et peuvent entraîner l'exécution de code à distance ou un déni de service sur le système cible. Pour exploiter ces vulnérabilités, un attaquant doit être capable de répondre à une requête DNS valide, en s'insérant comme un intermédiaire entre le client vulnérable et le serveur DNS, par une réponse dont la charge utile est formatée pour déclencher la faille. Les plateformes qui se sont révélées vulnérables incluent FreeBSD, qui est répandu dans tous les centres de données, et Nucleus et NetX, qui sont tous deux largement utilisés comme systèmes d'exploitation dans l'IoT et Appareils OT. L'article complet sur NAME:WRECK est disponible ici.
Étant donné que la compromission initiale dépend de l'accès réseau de l'attaquant à l'équipement cible et que les mouvements latéraux après la compromission nécessitent la présence d'un accès réseau omniprésent, la visibilité et la microsegmentation fournissent des fonctionnalités qui pourraient permettre à la fois de détecter et d'atténuer une éventuelle attaque.
Le point de départ pour les deux est un inventaire précis des équipements de l'environnement qui exécute les plateformes concernées. Cela peut être simple pour les serveurs d'un centre de données, mais plus difficile pour les appareils IoT ou OT disséminés sur les campus : si ces informations ne sont pas parfaites, savoir où ils sont déployés sur le réseau (même au niveau du sous-réseau, s'il ne s'agit pas d'une adresse IP spécifique) est un bon point de départ.
Visibilité
Étant donné qu'un attaquant devrait exécuter un MITM (homme au milieu) pour injecter la réponse DNS malveillante, l'identification de la connexion non autorisée peut s'avérer difficile. Cependant, les points suivants pourraient fournir un aperçu :
- Tentatives de connexions DNS à des serveurs DNS non reconnus ou inattendus.
- Des volumes d'activité anormalement élevés sur un serveur DNS spécifique.
- Réponses DNS avec des charges utiles importantes.
Un mouvement latéral potentiel après la compromission a pu être détecté par les moyens suivants :
- Connectivité du domaine cible (FreeBSD, NetX, Nucleus) aux périphériques internes auxquels ils ne se connectent pas normalement.
- Nouvelles tentatives de connexion Internet depuis le domaine cible.
- Nouveaux transferts de données volumineux depuis/vers le domaine cible.
Confinement
Les organisations peuvent tirer parti de la microsegmentation pour réduire la surface d'attaque potentielle et empêcher les mouvements latéraux :
- Limitez les appareils pour qu'ils puissent accéder uniquement aux serveurs DNS autorisés (internes et externes).
- Restreignez l'accès vers/depuis les appareils afin que les règles n'autorisent que les flux nécessaires aux opérations commerciales, empêchant ainsi un accès illimité au réseau.
- Empêchez l'accès des appareils à Internet ou limitez l'accès à des domaines spécifiques uniquement.
Les clients d'Illumio peuvent tirer parti de la visibilité inégalée d'Illumio Core pour permettre cette surveillance et élaborer des politiques de segmentation appropriées. Contactez l'équipe chargée de votre compte Illumio pour savoir comment procéder.
