Independent. Dynamic. Involved.
nlen

Alerter op blinde vlek van breekbare security producten (…en win óf ontsnap aan een Pwnie Award)!

Door Diederik Perk.

Het is een interessant gegeven dat in informatiebeveiligingskringen een nietsontziende cultuur bestaat ten opzichte van reputaties.  Dat is waarschijnlijk te herleiden tot de white hat hacker periode waarin een instituut als het Pentagon met enige regelmaat een ‘ongevraagde pentest’ kreeg te verduren waarmee de hacker in kwestie in het algemeen belang kwetsbaarheden blootlegde met als beloning niets dan een dosis bragging rights op een obscuur hackersforum.

Sindsdien heeft het nog jaren geduurd voordat de beveiligingsproblematiek zichtbaar werd op de agenda’s van de politieke en economische elite. De hoeveelheid paniek en commotie waarmee dat gepaard ging was een bevestiging voor de oude security garde: overheden en multinationals hebben liggen slapen, terwijl de noodzaak van maatregelen tegen het huidige massale misbruik van de interconnectivititeit al in die begintijd luidruchtig aangekondigd werd.

Reputaties gemaakt en gebroken

Zodoende is het te begrijpen dat er deze zomer in Las Vegas voor de tiende keer een awardshow is voor de grootste beveiligingsflaters en exploitatie technieken. Reputaties worden gemaakt en gebroken op deze security conferenties. De Pwnie (rijmt op Tony) Awards geven inzicht in de uitkomsten van security onderzoek en de urgentie van kwetsbaarheden aan de hand van een jury van gerespecteerde vakmensen.

Naast een veeg uit de pan naar gerespecteerde namen in de techindustrie die een uitglijder maken en een cynische categorie voor “most overhyped bug” (die moeten tegenwoordig een spannende naam, logo én een overgeacteerd filmpje hebben) is het ook een kritisch kijkje in eigen keuken. De uitblinkers en minder geslaagde acties met beveiligingsimplicaties worden gewogen. Dit is van belang omdat er bij een security product te vaak vanuit wordt gegaan dat deze onbreekbaar is, terwijl het tegendeel waar blijkt te zijn.

Security producten zijn onderhevig aan dezelfde design issues, functionele bugs en onvolledige test cyclussen als de omgeving die ze dienen te beschermen. Daarbij is de potentiële impact van misbruik nog eens vele maten groter vanwege de vele permissies van zo’n systeem. Voor geavanceerde threat actors maakt deze optelsom de ontdekking van een beveiligingslek of foutieve toepassing van een security product een geliefd doelwit. Het is daarom van belang om controls en beheer van security tools te integreren in patch- en vulnerability management rondes en periodiek te testen met een red-teaming methodiek.

Security gone wrong

Over het afgelopen jaar springen drie van zulke security gone wrong gevallen er uit en de verantwoordelijke is in alle gevallen een grote en succesvolle Amerikaanse marktpartij uit de security industrie. Dat dit allemaal netwerk security producten zijn geeft aan dat zelfs deze generatie producten met meer functionaliteit en maturity dan ooit ontzettend kwetsbaar blijken. Hetzelfde geldt overigens ook voor anti-virus producten van Symantec en Norton, maar AV heeft al eerder de glans van effectief beveiligingsmiddel verloren.[1]

Onderstaand een korte beschrijving van het probleem en de impact per product, ter illustratie dat de problematiek verder gaat dan een enkel product of leverancier.

Pwnie for Best Backdoor

Een cryptografische component in Juniper’s Netscreen firewall apparatuur bevat naar eigen zeggen ‘ongeautoriseerde code’. De twee backdoors die hiermee gecreëerd zijn maken toegang mogelijk tot de Juniper apparatuur waarmee VPN verkeer ontsleuteld en uitgelezen kan worden. Een patch is beschikbaar om de bekende gaten te dichten.[2] De exploitatie ervan is waarschijnlijk lang ongedetecteerd gebleven en aan NSA en GCHQ gelinkt sinds enkele interne documenten die naar deze product serie verwezen via Snowden bekend werden.

Pwnie for Best Server-Side Bug

ASA, oftewel Adaptive Security Appliance, is Cisco’s firewall productlijn. Zoals het een next-gen firewall betaamt wordt dit gecombineerd met antivirus, intrusion prevention, and VPN functionaliteit. Het zal geen verrassing zijn dat hierin eveneens een gat is ontdekt. Een UDP datapakketje kan afdoende zijn om een buffer overflow te veroorzaken, als gevolg van een foutieve validatie in het Internet Key Exchange (IKE) component. Het uitbuiten van deze kwetsbaarheid met nauwkeurig gespecificeerde parameters kan leiden tot het volledige compromitteren van de apparatuur. Een software patch en IDS signatures zijn beschikbaar als update.[3]

Geen Pwnie Award, wel kritieke tekortkoming

FireEye software voor het monitoren van netwerkverkeer waarmee bijvoorbeeld intranet en internet gescand kan worden op malware bevat een kwetsbaarheid waarmee een aanvaller op afstand commando’s kan uitvoeren en inzicht kan krijgen in het interne verkeer. Vanuit dit vertrekpunt kan toegangsprivilege escalatie leiden tot het hebben van root rechten op de node. Inzicht in gevoelig netwerk verkeer, ongemerkte exfiltratie van data en lateraal bewegen naar andere netwerk segmenten zijn het gevolg. Patches en meer informatie zijn beschikbaar gemaakt voor klanten.[4]

Met urgentie gaten dichten

De aanvallende partijen laten er ondertussen geen gras over groeien. Vijandige scan activiteiten gericht op het aanroepen van gekoppelde poorten zijn een zichtbaar gevolg waarmee threat actors direct de eerste stappen zetten in exploitatie van bovenstaande kwetsbare apparatuur. Het is daarom zaak om zo snel mogelijk te identificeren in hoeverre een vulnerability aanwezig is in de bedrijfsomgeving en de urgentie daarvan in te schatten zonder alleen op CVSS rating af te gaan.

In een ernstig genoeg geval kan niet passief op de patch afgewacht worden, maar zal het security team in samenspraak met beheerders een proces optimaal geïntegreerd in het reguliere change management moeten uitwerken om onmiddelijk mitigatie maatregelen door te voeren waardoor de toepassing onder extra toezicht blijft functioneren, of waar mogelijk draait in geïsoleerde modus. Bij het ontdekken van een malware infectie zal via binnen problem management de root cause achterhaald en geanalyseerd moeten worden.

Kritieke tekortkomingen worden continu ontdekt en- zodra bekend- massaal geëxploiteerd door kwaadwillenden. Daarnaast is er nog de sluimerende dreiging van zero days, waar tegen geen bescherming beschikbaar is. Een gepaste staat van alertheid bereiken begint voor organisaties met  op operationeel, tactisch en strategisch niveau mechanismes invoeren. Door geïnformeerd en responsief te bewegen kan in samenspraak met vendor en partners snel schoon ship gemaakt worden om uw reputatie en bedrijfsgegevens te waarborgen. Voor vragen of advies over de inrichting van een robuust vulnerability & threat management programma kunt u terecht bij de specialisten van Traxion.

[1] https://www.us-cert.gov/ncas/alerts/TA16-187A

[2] https://forums.juniper.net/t5/Security-Incident-Response/Important-Announcement-about-ScreenOS/ba-p/285554

[3] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160210-asa-ike

[4] https://www.fireeye.com/support/notices.html