Nombre:WRECK Takeaways: cómo la microsegmentación puede ayudar con la visibilidad y la contención

La colección de vulnerabilidades NAME:WRECK permite a los atacantes comprometer remotamente servidores críticos y dispositivos IoT, incluso aquellos detrás de firewalls perimetrales, al explotar fallas en su manejo de las respuestas del Sistema de Nombres de Dominio (DNS). Cientos de millones de dispositivos en todo el mundo, incluyendo tecnología sanitaria, dispositivos inteligentes y equipos industriales, podrían verse potencialmente comprometidos usando NAME:WRECK.

Una investigación publicada recientemente por Forescout y JSOF detalla esta colección de vulnerabilidades que aprovechan el análisis de respuestas DNS. Estos defectos se encuentran en las pilas TCP/IP de varios sistemas operativos y podrían conducir a la ejecución remota de código o a la denegación de servicio en el sistema de destino. Para explotar estas vulnerabilidades, un atacante necesita poder responder a una consulta DNS válida, insertándose como un hombre en el medio entre el cliente vulnerable y el servidor DNS, con una respuesta cuya carga útil esté formateada para desencadenar la debilidad. Las plataformas que han demostrado ser vulnerables incluyen FreeBSD, que prevalece en los centros de datos, y Nucleus y NetX, que se utilizan ampliamente como sistemas operativos en IoT y Dispositivos OT. El escrito completo sobre NOMBRE:WRECK se puede encontrar aquí.

Dado que el compromiso inicial depende de que el atacante tenga acceso a la red al dispositivo de destino y el movimiento lateral posterior al compromiso requiere que esté presente un acceso generalizado a la red, la visibilidad y la microsegmentación proporcionan capacidades que podrían soportar tanto la detección como la mitigación de un posible ataque.

El punto de partida para ambos es un inventario preciso de activos de dispositivos en el entorno que ejecuta las plataformas afectadas. Esto puede ser sencillo para los servidores en un centro de datos, pero más desafiante para los dispositivos IoT u OT que están repartidos en los campus: si esta información no es perfecta, saber en qué parte de la red se implementan (incluso a nivel de subred, si no IP específica) es un buen punto de partida.

Visibilidad

Debido a que un atacante necesitaría realizar un MITM (man in the middle) para inyectar la respuesta DNS maliciosa, identificar la conexión no deseada puede ser un desafío. Sin embargo, lo siguiente podría proporcionar algunas ideas:

• Se han intentado conexiones DNS a servidores DNS no reconocidos o inesperados.
• Volúmenes inusualmente altos de actividad en un servidor DNS específico.
• Respuestas DNS con grandes cargas útiles.

El posible movimiento lateral posterior al compromiso podría detectarse a través de lo siguiente:

• Conectividad del estado de destino (FreeBSD, NetX, Nucleus) a dispositivos internos a los que normalmente no se conectan.
• Nuevos intentos de conexión a Internet desde el estado de destino.
• Nuevas transferencias de datos grandes desde/hacia el estado de destino.

Contención

Las organizaciones pueden aprovechar la microsegmentación para reducir la superficie de ataque potencial e inhibir el movimiento lateral:

• Limite los dispositivos para que solo puedan acceder a servidores DNS autorizados (tanto internos como externos).
• Restrinja el acceso a/desde dispositivos para que las reglas sólo permitan los flujos necesarios para las operaciones del negocio, evitando así el acceso sin restricciones a la red.
• Impida el acceso de dispositivos a Internet o restrinja el acceso a dominios específicos solamente.

Los clientes de Illumio pueden aprovechar la visibilidad sin precedentes de Illumio Core para permitir este monitoreo y crear políticas de segmentación adecuadas. Llega a tu equipo de cuentas de Illumio para saber cómo.