Network Management System – перфектната цел за атака
Размислите на един специалист по киберсигурност във връзка със SolarWinds supply-chain атаката, поразила държавната администрация на САЩ и не само...
Последен ъпдейт на 16 декември 2020 в 13:48 ч.
За тези, които не знаят за какво служи платформата Orion на SolarWinds – това е система за управление на мрежата (NMS – Network Management System).
SolarWinds е един от най-използваните и широкоразпространени брандове NMS в световен мащаб. Използва се в средни и големи частни организации, правителствени агенции, военни и други стратегически формирования с национално значение.
NMS обикновено служи за наблюдение на мрежови устройства и критични сървъри. Ако някога сте виждали мрежова карта, на която устройствата са показани в зелено/жълто/червено, то тя вероятно е създадена от NMS.
Как NMS генерира картата
Понякога това е проста задача – колкото командата за проверка на наличността на дадена система в мрежата (ping). По-често обаче NMS използва SNMP (протокол за наблюдение и управление на мрежата) или инсталиран върху машината агент, за да научи или промени състоянието на отдалечените устройства. В допълнение към това, тези управляващи мрежата системи могат да променят конфигурацията, да рестартират услуги и т.н. Разбира се, не всички NMS са в състояние или имат права да правят промени или поне – не за всички системи в инфраструктурата.
Защо NMS са отлични цели за атакуващия и защо евентуален хак е труден за откриване
Както споменахме по-горе, NMS имат достъп до повечето (може и до всички) системи в мрежата, така че изходящите IP ACL (правилата за контрол на мрежовия трафик) не са полезен контрол. Netflow (протоколът, следящ за активността в мрежовия трафик) обикновено също не помага, тъй като NMS не само има достъп до всичко, но и говори много – тя се нуждае от разнообразна информация относно мрежата, която управлява, за да е максимално полезна.
Може би добра новина е, че NMS рядко има достъп до всички системи. Лоша новина е, че до най-критичните системи, най-вероятно достъпът е с най-високи привилегии и са позволени, както промяна в конфигурации, така и рестартиране на сървиси, цели машини или достъп до чувствителна информация, касаеща работата на системата. Това, разбира се, не е провал в моделирането на сигурността, защото същността на работа на тези системи предполага подобен тип взаимодействие с машините в мрежата. Нека си припомним, че сигурността включва и наличност (CIA – Confendentiality, Integrtity, Availability). В този ред на мисли, колкото по-критична е системата, толкова по-вероятно е да искате да осигурите нейната наличност. NMS я осигурява, като следи за услуги, които не реагират и ги рестартира автоматично, като част от зададен автоматизиран процес, а в повечето случаи – дори и без администраторът да разбере.
Друга лоша новина е, че дори и само в режим на монитор, NMS все още може да се използва за четене на конфигурации, които често включват достатъчно информация, за да могат хакерите да преминат от една система в друга (lateral movement). По-този начин хакерът може незабелязано да прескача от система към система, деактивирайки средствата им за защита и преодолявайки механизмите за наблюдение.
Сега вече всички се досещате, защо компрометирането на SolarWinds NMS е апетитна хапка и защо хакерите са се насочили точно към тази система:
- Широкото й разпространение предоставя възможност за достъп до голям брой системи в таргетирани организации, вкл. такива от национално значение
- Критичността и нивата на достъп на системата на практика осигуряват ключа за цялото „кралство”. Това е все едно да имате потребител „enterprise domain super administrator plus”
Какво трябва да направите ако имате инсталиран SolarWinds NMS
- Не изпадайте в паника и не го изтегляйте офлайн
- Следете “изкъсо” препоръките на производителя и приложете всички налични и бъдещи ъпдейти, които се публикуват
- Помислете и за наблюдение и предупреждение при всеки опит за достъп до администраторския интерфейс
- Независимо коя NMS използвате, препоръчваме да заключите достъпа до администраторските интерфейси, като използвате списъци за контрол на достъпа
Откриването на аномалии в трафика няма да е лесно, но в следващите няколко дни и седмици ще се появят IOCs (indicators of compromise), които ще подпомогнат системите за наблюдение.
В повечето организации NMS се конфигурира от администраторите, чиято единствена цел е осигуряване на наличност. Работете заедно с екипите по сигурност и моделирайте системите също и от гледна точка на поверителност.
В заключение само ще кажем, че NMS са “необходимото зло”. Без тях конфигурирането, управлението и наблюдението на множество системи би довело до доста по-силен “слънчев вятър” (solar wind), който би „довял“ съпътстващи проблеми. Или иначе казано – не изхвърляйте бебето, заедно с водата за къпане! Обърнете сериозно внимание на моделирането на сигурността в организацията си, за да минимизирате риска и щетите при евентуален инцидент. Ако срещате трудности – допитайте се до специалисти с опит и познания по темата.