Network Management System – перфектната цел за атака

Последен ъпдейт на 16 декември 2020 в 01:48 ч.

За тези, които не знаят за какво служи платформата Orion на SolarWinds – това е система за управление на мрежата (NMS – Network Management System).

SolarWinds е един от най-използваните и широкоразпространени брандове NMS в световен мащаб. Използва се в средни и големи частни организации, правителствени агенции, военни и други стратегически формирования с национално значение.

NMS обикновено служи за наблюдение на мрежови устройства и критични сървъри. Ако някога сте виждали мрежова карта, на която устройствата са показани в зелено/жълто/червено, то тя вероятно е създадена от NMS.

Как NMS генерира картата

Понякога това е проста задача – колкото командата за проверка на наличността на дадена система в мрежата (ping).  По-често обаче NMS използва SNMP (протокол за наблюдение и управление на мрежата) или инсталиран върху машината агент, за да научи или промени състоянието на отдалечените устройства. В допълнение към това, тези управляващи мрежата системи могат да променят конфигурацията, да рестартират услуги и т.н. Разбира се, не всички NMS са в състояние или имат права да правят промени или поне – не за всички системи в инфраструктурата.

Защо NMS са отлични цели за атакуващия и защо евентуален хак е труден за откриване

Както споменахме по-горе, NMS имат достъп до повечето (може и до всички) системи в мрежата, така че изходящите IP ACL (правилата за контрол на мрежовия трафик) не са полезен контрол. Netflow (протоколът, следящ за активността в мрежовия трафик) обикновено също не помага, тъй като NMS не само има достъп до всичко, но и говори много – тя се нуждае от разнообразна информация относно мрежата, която управлява, за да е максимално полезна.

Може би добра новина е, че NMS рядко има достъп до всички системи. Лоша новина е, че до най-критичните системи, най-вероятно достъпът е с най-високи привилегии и са позволени, както промяна в конфигурации, така и рестартиране на сървиси, цели машини или достъп до чувствителна информация, касаеща работата на системата. Това, разбира се, не е провал в моделирането на сигурността, защото същността на работа на тези системи предполага подобен тип взаимодействие с машините в мрежата. Нека си припомним, че сигурността включва и наличност (CIA – Confendentiality, Integrtity, Availability). В този ред на мисли, колкото по-критична е системата, толкова по-вероятно е да искате да осигурите нейната наличност. NMS я осигурява, като следи за услуги, които не реагират и ги рестартира автоматично, като част от зададен автоматизиран процес, а в повечето случаи – дори и без администраторът да разбере.

Друга лоша новина е, че дори и само в режим на монитор, NMS все още може да се използва за четене на конфигурации, които често включват достатъчно информация, за да могат хакерите да преминат от една система в друга (lateral movement). По-този начин хакерът може незабелязано да прескача от система към система, деактивирайки средствата им за защита и преодолявайки механизмите за наблюдение.

Сега вече всички се досещате, защо компрометирането на SolarWinds NMS е апетитна хапка и защо хакерите са се насочили точно към тази система:

1. Широкото й разпространение предоставя възможност за достъп до голям брой системи в таргетирани организации, вкл. такива от национално значение
2. Критичността и нивата на достъп на системата на практика осигуряват ключа за цялото „кралство”. Това е все едно да имате потребител „enterprise domain super administrator plus”

Какво трябва да направите ако имате инсталиран SolarWinds NMS

1. Не изпадайте в паника и не го изтегляйте офлайн
2. Следете “изкъсо” препоръките на производителя и приложете всички налични и бъдещи ъпдейти, които се публикуват
3. Помислете и за наблюдение и предупреждение при всеки опит за достъп до администраторския интерфейс
4. Независимо коя NMS използвате, препоръчваме да заключите достъпа до администраторските интерфейси, като използвате списъци за контрол на достъпа

Откриването на аномалии в трафика няма да е лесно, но в следващите няколко дни и седмици ще се появят IOCs (indicators of compromise), които ще подпомогнат системите за наблюдение.

В повечето организации NMS се конфигурира от администраторите, чиято единствена цел е осигуряване на наличност. Работете заедно с екипите по сигурност и моделирайте системите също и от гледна точка на поверителност.

В заключение само ще кажем, че NMS са “необходимото зло”. Без тях конфигурирането, управлението и наблюдението на множество системи би довело до доста по-силен “слънчев вятър” (solar wind), който би „довял“ съпътстващи проблеми. Или иначе казано – не изхвърляйте бебето, заедно с водата за къпане! Обърнете сериозно внимание на моделирането на сигурността в организацията си, за да минимизирате риска и щетите при евентуален инцидент. Ако срещате трудности – допитайте се до специалисти с опит и познания по темата.