По итогам выступлений на BlackHat USA 2012 и RSA China 2012Александр Поляков, технический директор Digital Security, представил обзор новой угрозы для критичных бизнес-приложений – SSRF (Server Side Request Forgery). «Представьте, что у вас есть две системы (назовём их А и Б), которые доверяют друг другу, то есть соединение между ними не блокируется межсетевым экраном, так как между ними необходимо передавать некие данные.
Система А – это, например, корпоративный портал, который обычно доступен из небезопасной сети, такой как интернет. А другая система – это, скажем, ERP, и она недоступна из интернета, но доверяет корпоративному порталу. Именно такова структура сети большинства компаний, - рассказывает Поляков. – SSRF-атака (Server Side Request Forgery, или межсерверная подделка запросов) заключается в том, чтобы найти какой-нибудь уязвимый сервис в системе А, который сможет переслать зловредный запрос во внутреннюю сеть и таким образом перенаправить атаку в систему Б. Так злоумышленник сможет, обойдя межсетевые экраны и системы обнаружения вторжений, напрямую эксплуатировать уязвимости в якобы защищенных системах».
По его словам, традиционные атаки направлены непосредственно на целевую систему и относительно легко обнаруживаются IDS-системами или блокируются межсетевыми экранами. SSRF – пример более сложной атаки, которую труднее предотвратить, так как атака осуществляется не напрямую, а через посредника, и эксплойт передаётся в преобразованном виде, что затрудняет его обнаружение, передает safe.cnews.ru.
SSRF, несомненно, представляет собой новую опасную угрозу критичным бизнес-приложениям, отмечает Поляков. Раньше пользователи, вместо того чтобы вовремя обновлять критичные системы, просто прятали их за межсетевыми экранами. А теперь такая защита обходится с помощью SSRF. Сейчас для SSRF-атаки необходимы особые условия, но, как и в случае любой другой атаки, появление в Сети полноценного эксплойта с дружественным интерфейсом – всего лишь вопрос времени, говорит технический директор Digital Security. После презентации Digital Security на BlackHat USA в Сети уже успели появиться первые инструменты для проведения SSRF-атак, например, для проксирования любых запросов через уязвимый сервис.
Область применения атак, связанных с SSRF и туннелированием внешних сущностей XML, гораздо шире, чем может казаться сейчас, так как на BlackHat были представлены лишь несколько примеров ее использования, в основном для атак на SAP. В будущем наверняка появятся и другие способы применения SSRF, утверждает Александр Поляков.
Критичные бизнес-системы подвержены угрозам промышленного шпионажа, саботажа, а также мошенничества. С помощью SSRF-атак можно реализовать любую из этих угроз в зависимости от типа эксплуатируемой уязвимости. В случае XXE-туннелирования наиболее простой атакой является отказ в обслуживании. Уязвимый сервис размножит ваш запрос, так что всего один пакет с определёнными данными заставит внешний портал переслать в бизнес-приложение тысячи запросов и в итоге «уронить» систему.
Как Digital Security предупреждали еще несколько лет назад, количество атак на уязвимости кастомизированных приложений, таких как ERP-системы, программное обеспечение для банковского обслуживания, сервисные шины, CRM-системы, корпоративные порталы и т.д., сильно возросло в последнее время. Например, SAP в 2001–2006 г. закрыла около сотни уязвимостей в своих продуктах, а с 2007 по 2012 г.– уже более двух тысяч. Основная причина, как объясняет Александр Поляков, состоит в том, что атаковать операционные системы, например Windows, становится всё сложнее и сложнее с учётом последних механизмов защиты, и «даже если у вас есть рабочий эксплойт под Windows, на атакуемом сервере может не храниться никакой ценной информации». «Так зачем тратить на это время, когда можно искать уязвимости в кастомизированных приложениях? Ведь их там огромное количество, потому что никто не оценивает такие приложения с точки зрения безопасности. К тому же атака на подобное приложение заведомо выгодна для злоумышленника, потому что оно по определению хранит ценные данные», - поясняет эксперт.
По мнению Полякова, основная проблема защиты в том, что, большая часть существующих механизмов безопасности не может отразить атаки типа SSRF и XXE tunneling. Лучшее, что можно сделать – это устанавливать патчи и не думать, будто межсетевого экрана достаточно, чтобы защитить систему, а также проводить тестирование сервисов на проникновение с помощью высококвалифицированных специалистов в области безопасности приложений. Что же до частного случая SSRF-атаки, который называется туннелированием внешних сущностей XML (XXE tunneling), то все интерфейсы XML должны быть защищены от неавторизованного доступа, а использование внешних сущностей XML должно быть отключено.
Что касается критичных бизнес-приложений, таких как SAP, то на данный момент в результате скоординированной работы Digital Security и SAP AG производитель закрыл ряд архитектурных уязвимостей, позволяющих проводить подобные атаки, но это не означает, что не появится новых, отмечает Поляков. Пользователям таких систем следует применять системы непрерывного мониторинга и поиска уязвимостей, которые помогут обнаруживать уязвимости и предоставят рекомендации по борьбе с угрозами. Преимущество будет у тех систем, которые имеют набор 0-day уязвимостей.
Александр Поляков советует предприятиям предотвращать продвинутые угрозы сетевой безопасности, как только они появляются: «Безопасность – это процесс, и чем раньше вы будете узнавать о новых проблемах и угрозах, тем выше вероятность, что вы будете от них защищены».
