NOME: WRECK Takeaways — Como a microssegmentação pode ajudar na visibilidade e contenção

A coleção de vulnerabilidades NAME:WRECK permite que os invasores comprometam remotamente servidores críticos e dispositivos de IoT, mesmo aqueles atrás de firewalls de perímetro, explorando falhas no tratamento das respostas do Sistema de Nomes de Domínio (DNS). Centenas de milhões de dispositivos em todo o mundo — incluindo tecnologia de saúde, dispositivos inteligentes e equipamentos industriais — poderiam ser potencialmente comprometidos usando NAME:WRECK.

Uma pesquisa recentemente publicada pela Forescout e pela JSOF detalha esse conjunto de vulnerabilidades que exploram a análise de respostas DNS. Esses defeitos são encontrados nas pilhas TCP/IP de diversos sistemas operacionais e podem levar à execução remota de código ou à negação de serviço no sistema alvo. Para explorar essas vulnerabilidades, um atacante precisa ser capaz de responder a uma consulta DNS válida – inserindo-se como um intermediário entre o cliente vulnerável e o servidor DNS – com uma resposta cujo conteúdo esteja formatado para acionar a vulnerabilidade. As plataformas que se mostraram vulneráveis incluem o FreeBSD, predominante em centros de dados, e o Nucleus e o NetX, ambos amplamente utilizados como sistemas operacionais em dispositivos de IoT e OT. A análise completa de NAME:WRECK pode ser encontrada aqui.

Como o comprometimento inicial depende do invasor ter acesso à rede do dispositivo alvo e que o movimento lateral após o comprometimento exige a presença de acesso contínuo à rede, a visibilidade e a microssegmentação fornecem recursos que podem apoiar a detecção e a mitigação de um possível ataque.

O ponto de partida para ambos é um inventário preciso dos ativos dos dispositivos no ambiente que está executando as plataformas afetadas. Isso pode ser simples para servidores em um data center, mas mais desafiador para dispositivos de IoT ou OT espalhados por campi: se essas informações não forem perfeitas, saber onde elas estão implantadas na rede (mesmo no nível da sub-rede, se não for um IP específico) é um bom ponto de partida.

Visibilidade

Como um invasor precisaria realizar um MITM (man in the middle) para injetar a resposta maliciosa de DNS, identificar a conexão não autorizada pode ser um desafio. No entanto, o seguinte pode fornecer algumas dicas:

• Tentativas de conexão DNS com servidores DNS não reconhecidos ou inesperados.
• Volumes excepcionalmente altos de atividade em um servidor DNS específico.
• Respostas de DNS com grandes cargas úteis.

O potencial movimento lateral após o comprometimento pode ser detectado por meio do seguinte:

• Conectividade do estado alvo (FreeBSD, NetX, Nucleus) com dispositivos internos aos quais eles normalmente não se conectam.
• Novas tentativas de conexão com a Internet a partir da propriedade alvo.
• Novas transferências de grandes dados de/para a propriedade de destino.

Contenção

As organizações podem aproveitar a microssegmentação para reduzir a superfície potencial de ataque e inibir o movimento lateral:

• Limite os dispositivos para que só possam acessar servidores DNS autorizados (internos e externos).
• Restrinja o acesso de/para dispositivos para que as regras permitam apenas os fluxos necessários para as operações comerciais, impedindo assim o acesso irrestrito à rede.
• Impeça o acesso do dispositivo à Internet ou restrinja o acesso somente a domínios específicos.

Os clientes da Illumio podem aproveitar a visibilidade incomparável do Illumio Core para permitir esse monitoramento e criar políticas de segmentação apropriadas. Entre em contato com sua equipe de contas da Illumio para saber como.