이름:WRECK 시사점 — 마이크로 세분화가 가시성과 억제에 어떻게 도움이 될 수 있는지

NAM:WRECK 취약성 컬렉션을 통해 공격자는 DNS (Domain Name System) 응답 처리의 결함을 악용하여 중요한 서버와 IoT 장치 (경계 방화벽 뒤에 있는 서버도 포함) 를 원격으로 손상시킬 수 있습니다.Name:WRECK을 사용하면 의료 기술, 스마트 장치 및 산업 장비를 포함한 전 세계 수억 개의 장치가 잠재적으로 손상될 수 있습니다.

Forescout과 JSOF가 최근 발표한 연구에서는 DNS 응답 파싱을 활용하는 이러한 취약성 모음을 자세히 설명합니다.이러한 결함은 여러 운영 체제의 TCP/IP 스택에서 발견되며 대상 시스템에서 원격 코드 실행 또는 서비스 거부로 이어질 수 있습니다.이러한 취약성을 악용하려면 공격자가 취약한 클라이언트와 DNS 서버 사이의 중간에 자신을 침입하여 취약점을 트리거하도록 페이로드가 포맷된 응답을 통해 유효한 DNS 쿼리에 응답할 수 있어야 합니다.취약한 것으로 밝혀진 플랫폼에는 데이터 센터 전반에 널리 사용되는 FreeBSD와 IoT의 운영 체제로 광범위하게 사용되는 Nucleus 및 NetX가 포함됩니다. OT 디바이스.이름:WRECK에 대한 전체 글을 찾을 수 있습니다. 이리.

초기 보안 침해는 대상 장치에 대한 네트워크 액세스 권한을 가진 공격자에 따라 달라지고 침해 후 측면 이동을 위해서는 이후 방향으로 퍼베이시브 네트워크 액세스가 존재해야 한다는 점을 고려하면 가시성과 마이크로 세그멘테이션은 가능한 공격의 탐지와 완화를 모두 지원할 수 있는 기능을 제공합니다.

두 플랫폼 모두의 출발점은 영향을 받는 플랫폼을 실행하는 환경에 있는 장치의 정확한 자산 인벤토리입니다.데이터 센터의 서버에서는 간단하지만 캠퍼스 곳곳에 흩어져 있는 IoT 또는 OT 디바이스에서는 더 어려울 수 있습니다. 정보가 완벽하지 않다면 네트워크의 어디에 배포되어 있는지 (특정 IP는 아니더라도 서브넷 수준에서도) 파악하는 것이 좋습니다.

가시성

공격자는 악의적인 DNS 응답을 주입하기 위해 MITM (중간자) 을 수행해야 하므로 악성 연결을 식별하는 것이 어려울 수 있습니다.하지만 다음을 통해 통찰력을 얻을 수 있습니다.

• 인식되지 않거나 예상치 못한 DNS 서버에 DNS 연결을 시도했습니다.
• 특정 DNS 서버에 대한 활동이 비정상적으로 많습니다.
• 대용량 페이로드가 포함된 DNS 응답

손상 후 잠재적인 측면 이동은 다음을 통해 감지할 수 있습니다.

• 일반적으로 연결되지 않는 내부 장치에 대한 연결 상태 (FreeBSD, NetX, Nucleus) 를 대상으로 합니다.
• 대상 부동산에서 새로운 인터넷 연결을 시도했습니다.
• 대상 자산에서 또는 대상 부동산으로 새로운 대용량 데이터를 전송합니다.

컨테인먼트

조직은 마이크로 세그멘테이션을 활용하여 잠재적 공격 표면을 줄이고 측면 이동을 억제할 수 있습니다.

• 인증된 DNS 서버 (내부 및 외부 모두) 에만 액세스할 수 있도록 장치를 제한합니다.
• 규칙이 비즈니스 운영에 필요한 흐름만 허용하도록 장치와의 액세스를 제한하여 네트워크에 대한 무제한 액세스를 방지합니다.
• 디바이스의 인터넷 액세스를 차단하거나 특정 도메인에 대한 액세스만 제한합니다.

Illumio 고객은 Illumio Core의 탁월한 가시성을 활용하여 이러한 모니터링을 가능하게 하고 적절한 세분화 정책을 수립할 수 있습니다.Illumio 계정 팀에 문의하여 방법을 알아보십시오.