Branża security zwiększyła swoje możliwości w zabezpieczaniu urządzeń końcowych, takich jak laptopy, więc hakerzy przenieśli swoją uwagę na systemy bezpieczeństwa sieciowego. Pełnią one rolę drzwi frontowych do środowiska IT, co czyni je wyjątkowo pożądanym celem.

„Fakt, że urządzenia bezpieczeństwa sieci mogą teraz być postrzegane jako najsłabsze ogniwo w cyberochronie, zakrawa na ironię. Zamiast zabezpieczać, sprawiają, że jesteśmy mniej bezpieczni. Urządzenia dostępowe dają dostęp przestępcom” – komentuje Geoffrey Mattson, CEO Xage Security, firmy specjalizującej się w zarządzaniu dostępem.

Remedium powinna być rutyna, doskonale znana zespołom IT i bezpieczeństwa, jak również usługodawcom typu MSSP. Po prostu odkrytą lukę trzeba natychmiast załatać… i powtarzać to w kółko. Jednak dla przepracowanych, niekompletnych zespołów, szybkie wdrażanie poprawek okazuje się ogromnym wyzwaniem. W efekcie organizacje zostają wystawione na długotrwałe ryzyko ataku ransomware, kradzieży danych albo informatycznego szpiegostwa.

„Ponieważ mamy z takim ryzykiem do czynienia od dawna, więc zadanie łatania luk jest wszystkim dobrze znane. Niestety wiele organizacji nie ma ani czasu, ani zasobów, aby łatać luki natychmiast po tym, jak zostaną wykryte” – mówi MacKenzie Brown, wiceprezes ds. bezpieczeństwa w Blackpoint Cyber, które jest dostawcą zarządzanych usług detekcji i reakcji (MDR). Nawet jednak, gdyby mogły reagować natychmiast, to nie zawsze poprawki są szybko udostępniane przez dostawców.

Rzeczone problemy ze stałym łataniem luk występują w sytuacji rosnącej liczby ataków na oprogramowanie i urządzenia bezpieczeństwa. Z badania firmy Forescout wynika, że w 2023 r. liczba exploitów, których celem były routery, zapory sieciowe, VPN-y i inne urządzenia infrastruktury sieciowej, wzrosła do 11 proc. liczby wszystkich exploitów ogółem. Oznacza to prawie czterokrotny wzrost w porównaniu z rokiem 2022. Z kolei specjaliści z należącej do Google Cloud i zajmującej się cyberbezpieczeństwem firmy Mandiant, twierdzą, że w 2023 r. wykorzystano dziewięć luk w produktach bezpieczeństwa sieciowego, czyli niemal dwukrotnie więcej niż w 2022 r. (kiedy było ich pięć).

Tymczasem dla większości środowisk istnieją już możliwości automatycznego łatania luk w urządzeniach bezpieczeństwa sieciowego. Działa to na takiej samej zasadzie, jak w urządzeniach smart home, które często otrzymują aktualizacje automatycznie. Jednakże zarówno dostawcy, jak i ich klienci w większości sceptycznie podchodzą do tego rozwiązania. Powodem są obawy o zakłócenia w pracy systemów IT albo wręcz utratę kontroli nad nimi.

Wyjątkiem od tej reguły może być Sophos, który na dużą skalę wdrożył automatyczne aktualizacje dla swoich najpopularniejszych zapór sieciowych działających on-premise. I jak się okazuje, tym wypadku aktualizacje nie powodują zakłóceń, których tak wielu się obawia. Dlatego dochodzą do głosu ci eksperci z branży bezpieczeństwa, którzy uważają, że nadszedł czas, aby podejście z automatycznym łataniem było powszechnie stosowane.

Eksploity na fali wznoszącej

To było spore zaskoczenie dla wszystkich. Pierwszego lutego tego roku amerykańska amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CSA) wydała pilne polecenie rządowym agencjom cywilnych: w ciągu 48 godzin macie odłączyć VPN-y Ivanti Connect Secure.

Ten radykalny krok był odpowiedzią na masowe wykorzystanie przez cyberprzestępców trzech luk w Connect Secure po ich ujawnieniu 10 stycznia br. Jak stwierdzono, w wyniku ataków tysiące urządzeń VPN Ivanti zostało skompromitowanych, a wśród ofiar była sama CISA. Co może być szokujące, objęta atakami była nawet Mitre, znana organizacja prowadząca finansowane przez amerykański rząd badania schematów cyberataków. Opracowywane przez nią modele zagrożeń są powszechnie wykorzystywane w branży bezpieczeństwa.

Odłączenie VPN-ów Connect Secure z polecenia CISA miało być tylko tymczasowe, ale decyzja wskazywała na wagę zagrożenia ze strony grupy hakerów wykorzystujących luki w tych urządzeniach. Przestępcy mieli być najprawdopodobniej powiązani z Chinami. Ta historia była też kolejnym przykładem problemu z wdrażaniem na czas poprawek bezpieczeństwa, nawet w infrastrukturze krytycznej.

„Wewnętrzne zespoły ds. bezpieczeństwa mają zbyt ograniczone zasoby, by poświęcać uwagę wielu nakładającym się problemom w różnych produktach” – mówi Caleb Gross, dyrektor ds. rozwoju w Bishop Fox, firmie zajmującej się ofensywnym bezpieczeństwem.

Świadczą o tym badania przeprowadzone przez Bishop Fox w ciągu ostatniego roku, które wykazały, że setki tysięcy urządzeń Fortinet Fortigate oraz firewalli nowej generacji SonicWall w obliczu odkrytych poważnych luk pozostawały niezałatane długo po udostępnieniu poprawek przez dostawców.

„CISA dostrzega to, że organizacje nie są w stanie w nadążyć i załatać luk. Więc teraz ich strategia sprowadza się do podejścia: OK, po prostu wyciągnijcie te urządzenia z sieci, macie na to 48 godzin” – tłumaczy Caleb Gross.

Obok ataków na klientów Ivanti Connect Secure, częstym zjawiskiem w ostatnich miesiącach stały się ataki wykorzystujące luki dnia zerowego w lokalnie instalowanych firewallach.

Przykładowo, w lutym CISA ujawniła, że do takich ataków była wykorzystywana krytyczna luka w systemie operacyjnym FortiOS firmy Fortinet. Później, w połowie kwietnia, Palo Alto Networks ujawniło krytyczną lukę w oprogramowaniu PAN-OS swoich firewalli, która była wykorzystywana już w momencie ujawnienia. Kilka dni później Cisco Systems poinformowało o groźnej podatności dotyczącej zintegrowanego Management Controllera, stosowanego w licznych urządzeniach sieciowych. Kod, który może zostać użyty do wykorzystania luki, został publicznie udostępniony. W pierwszej połowie tego roku ujawniono także serię innych podatności o wysokim i krytycznym poziomie zagrożenia, wpływających na zapory sieciowe wielu dostawców.

Coraz częściej podatności te wychodzą na jaw jako exploity zero-day, czyli wcześniej nieznane luki, które zostały już wykorzystane w atakach. Podatności te nazywane są zero-day ponieważ dostawcy nie mieli praktycznie żadnego czasu na opracowanie i dystrybucję poprawek.

„Liczba podatności w urządzeniach na brzegu sieci, w tym wielu urządzeniach sieciowych i bramach bezpieczeństwa, jest duża. Przede wszystkim obserwujemy częste wykorzystywanie exploitów zero-day dla tych urządzeń. W ciągu ostatniego roku podatności w urządzeniach na brzegu sieci częściej były ujawniane właśnie jako zero-day” – mówi Caitlin Condon, dyrektor odpowiedzialna za badania podatności i threat intelligence w Rapid7.

Ile czasu potrzeba na poprawki?

Innymi słowy, nie chodzi tylko o to, że zespoły bezpieczeństwa, już i tak przeciążone, mają ograniczony czas na odpowiedź na zagrożenia. Coraz częściej czasu na reakcję nie ma w ogóle, a przykład ataków na Ivanti Connect Secure pokazuje, że nie zawsze dostawcy reagują w pośpiechu.

„Reakcją Ivanti na ogłoszenie nowej podatności było: hej, poprawka będzie, ale nie w ciągu kilku dni, ale tygodni. Uważam, że można było oczekiwać większego zaangażowania. I chociaż Ivanti udostępniło tymczasowe rozwiązania, były one dostępne tylko dla klientów zarejestrowanych w ich portalu wsparcia. Spodziewałbym się, że szeroko i bezpłatnie rozpowszechnią tymczasowe rozwiązania, aby użytkownicy ich oprogramowania lub urządzenia mogli jak najszybciej podjąć środki zaradcze, ale tego zabrakło” – mówi Caleb Gross z Bishop Fox.

W oświadczeniu dostarczonym redakcji CRN rzecznik Ivanti stwierdził, że bezpieczeństwo klientów jest najwyższym priorytetem i że firma działa „szybko i transparentnie, aby dostarczać informacje w najlepszym interesie klientów i wydawać poprawki, gdy jest to konieczne.” I dalej: „W tym przypadku priorytetowo traktowaliśmy udostępnienie tymczasowych rozwiązań, podczas gdy poprawki były opracowywane, zgodnie z najlepszymi praktykami branżowymi. Podejmujemy proaktywne działania, aby poprawić naszą ogólną postawę i stosujemy praktyki bezpieczeństwa w celu zwalczania coraz bardziej wyrafinowanych zagrożeń, z którymi nasza branża się zmaga. Aktywnie współpracujemy z naszymi klientami oraz partnerami rządowymi i branżowymi w tym zakresie. Standardową praktyką w branży jest udostępnianie tymczasowych rozwiązań i poprawek poprzez portal wsparcia, w tym z powodów bezpieczeństwa, aby zapobiec wykorzystaniu informacji przez osoby mogące użyć inżynierii wstecznej do poprawek”.

Ivanti wydało pierwszą poprawkę dla niektórych wersji swojego oprogramowania Connect Secure VPN 31 stycznia, a więc trzy tygodnie po ujawnieniu podatności. Według przedstawiciel firm zajmujących się bezpieczeństwem oraz integratorów, z którymi rozmawiał CRN, skutki ataków na Ivanti były mocno odczuwane, co w niektórych przypadkach skutkowało pilnymi migracjami do alternatywnych technologii zdalnego dostępu.

Za tydzień druga część artykułu na temat luk w urządzeniach bezpieczeństwa i podejściu dostawców do tego problemu.