NAME:WRECK Imbissbuden — Wie Mikrosegmentierung zu Sichtbarkeit und Eindämmung beitragen kann

Die Sammlung von NAME:WRECK Sicherheitslücken ermöglicht es Angreifern, kritische Server und IoT-Geräte aus der Ferne zu kompromittieren, auch solche, die sich hinter Perimeterfirewalls befinden, indem sie Fehler bei der Verarbeitung von DNS-Antworten (Domain Name System) ausnutzen. Hunderte Millionen Geräte weltweit — darunter Medizintechnik, intelligente Geräte und Industrieanlagen — könnten mithilfe von NAME:WRECK potenziell kompromittiert werden.

Kürzlich veröffentlichte Forschungsergebnisse von Forescout und JSOF beschreiben diese Sammlung von Sicherheitslücken, die das Analysieren von DNS-Antworten nutzen. Diese Fehler sind in den TCP/IP-Stacks einer Reihe von Betriebssystemen zu finden und können zur Remotecodeausführung oder Diensteverweigerung auf dem Zielsystem führen. Um diese Sicherheitsanfälligkeiten ausnutzen zu können, muss ein Angreifer in der Lage sein, auf eine gültige DNS-Anfrage zu antworten — indem er sich als Mann in der Mitte zwischen dem anfälligen Client und dem DNS-Server einfügt — und eine Antwort erhalten, deren Nutzlast so formatiert ist, dass sie die Schwachstelle auslöst. Zu den Plattformen, die sich als anfällig erwiesen haben, gehören FreeBSD, das in Rechenzentren weit verbreitet ist, sowie Nucleus und NetX, die beide häufig als Betriebssysteme im Internet der Dinge verwendet werden OT-Geräte. Den vollständigen Artikel auf NAME:WRECK finden Sie hier.

Da die anfängliche Gefährdung davon abhängt, dass der Angreifer Netzwerkzugriff auf das Zielgerät hat, und eine laterale Bewegung nach der Gefährdung einen umfassenden Netzwerkzugriff erfordert, bieten Sichtbarkeit und Mikrosegmentierung Funktionen, die sowohl die Erkennung als auch die Abwehr eines möglichen Angriffs unterstützen könnten.

Der Ausgangspunkt für beide ist eine genaue Bestandsaufnahme der Geräte in der Umgebung, in der die betroffenen Plattformen ausgeführt werden. Dies mag für Server in einem Rechenzentrum einfach sein, für IoT- oder OT-Geräte, die über mehrere Standorte verteilt sind, eine größere Herausforderung: Wenn diese Informationen nicht perfekt sind, ist es ein guter Ausgangspunkt, zu wissen, wo im Netzwerk sie eingesetzt werden (auch auf Subnetzebene, wenn nicht sogar auf einer bestimmten IP).

Sichtbarkeit

Da ein Angreifer ein MITM (Man in the middle) ausführen müsste, um die bösartige DNS-Antwort einzuschleusen, kann es schwierig sein, die bösartige Verbindung zu identifizieren. Folgendes könnte jedoch einige Einblicke bieten:

• Versuchte DNS-Verbindungen zu unbekannten oder unerwarteten DNS-Servern.
• Ungewöhnlich hohe Aktivitäten auf einem bestimmten DNS-Server.
• DNS-Antworten mit großen Nutzlasten.

Mögliche seitliche Bewegungen nach einer Kompromittierung könnten anhand der folgenden Merkmale erkannt werden:

• Target Estate (FreeBSD, NetX, Nucleus) Konnektivität zu internen Geräten, zu denen sie normalerweise keine Verbindung herstellen.
• Neue Internetverbindungsversuche von der Zielanlage aus.
• Neue große Datenübertragungen von/zur Zielanlage.

Eindämmung

Unternehmen können die Mikrosegmentierung nutzen, um die potenzielle Angriffsfläche zu reduzieren und laterale Bewegungen zu verhindern:

• Beschränken Sie Geräte so, dass sie nur auf autorisierte DNS-Server (sowohl intern als auch extern) zugreifen können.
• Beschränken Sie den Zugriff auf/von Geräten, sodass Regeln nur Abläufe zulassen, die für den Geschäftsbetrieb erforderlich sind, und verhindern Sie so den uneingeschränkten Zugriff auf das Netzwerk.
• Verhindern Sie den Zugriff von Geräten auf das Internet oder beschränken Sie den Zugriff nur auf bestimmte Domains.

Illumio-Kunden können die beispiellose Transparenz von Illumio Core nutzen, um diese Überwachung zu ermöglichen und angemessene Segmentierungsrichtlinien zu erstellen. Wenden Sie sich an Ihr Illumio Account-Team, um zu erfahren, wie das geht.