🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma análise técnica das primeiras 24 horas: a rapidez com que os invasores enumeram e visam os ativos recentemente expostos
Escrito por Topher Lyons – Sprocket Security
No momento em que um novo ativo obtém um endereço IP público, um relógio é iniciado. Não é lento. Implacável e automatizado. A diferença entre “isto acabou de ser publicado” e “isto está sendo investigado ativamente” é de minutos, não de dias.
Isso não é teórico. Com a ajuda do nosso ASM Community Edition, é isso que a Sprocket Security vê continuamente nos ambientes dos clientes, e é exatamente com isso que os invasores contam: sua equipe não saberá que algo está exposto até que seja tarde demais.
As primeiras 24 horas: um cronograma técnico
T+0: O ativo entra em operação.
Um desenvolvedor envia uma nova instância de nuvem. Uma regra de firewall mal configurada abre uma porta. Um portal de fornecedor é criado em um subdomínio que ninguém sinalizou. Seja qual for a causa, agora existe um novo endpoint roteável pela Internet e a segurança não recebe notificação.
T+5 a T+60 minutos: Os scanners encontram.
A infraestrutura de digitalização automatizada varre toda a Internet pública constantemente. Shodan, Censys, ShadowServer e outros indexam novos hosts continuamente (somente o Censys cobre dezenas de milhares de portas).
Dentro de uma hora, seu ativo tem suas portas abertas catalogadas, informações de banner coletadas (versão do servidor web, certificado TLS, impressão digital SSH) e assinaturas de resposta comparadas com bancos de dados de vulnerabilidades conhecidas.
T+1 a T+6 horas: Início da enumeração.
Agora seu ativo aparece nas consultas Shodan e Censys. As ferramentas de ataque automatizado iniciam sua própria passagem de reconhecimento: procurando versões de serviço, portas de gerenciamento abertas (RDP em 3389, SSH em 22, painéis de administração em 8080/8443) e certificados TLS que giram para domínios e subdomínios relacionados.
Se o seu novo ativo tiver um certificado, os invasores poderão aprender muito sobre sua infraestrutura mais ampla sem nunca tocar em algo que você estava observando.
T+6 a T+12 horas: Sondagem ativa.
A descoberta passiva muda para a segmentação ativa. Os dados do GreyNoise mostram picos de atividade do scanner nesta janela. O preenchimento de credenciais começa contra SSH e RDP. Os serviços da Web começam a ser atingidos pela força bruta de diretório. Bancos de dados como Elasticsearch e Redis são investigados quanto a acesso não autenticado. As estruturas são testadas em relação a CVEs conhecidos.
Nada disso precisa de um humano para começar. As botnets lidam com isso em grande escala, 24 horas por dia.
T+12 a T+24 horas: Compromisso.
Os pesquisadores da Unidade 42 implantaram 320 honeypots em provedores de nuvem (RDP, SSH, SMB, Postgres) para ver o que aconteceria. 80% foram comprometidos em 24 horas.
Para qualquer coisa executada com vulnerabilidades exploráveis, configurações incorretas ou credenciais padrão, isso é tudo o que é necessário para passar de “isso acabou de ser lançado” para “isso já pertence”.
Veja a superfície do seu ataque da mesma forma que os invasores fazem
O Sprocket Security ASM Community Edition encontra o que os invasores estão procurando (APIs ocultas, subdomínios esquecidos, serviços mal configurados) antes de encontrá-lo primeiro.
Obtenha visibilidade contínua da superfície de ataque externo, gratuitamente.
Obtenha visibilidade ASM
Exemplo do mundo real: a API oculta que ninguém sabia que existia
A linha do tempo acima pressupõe que você saiba o que está exposto. Algumas das exposições mais perigosas são ativos que sua equipe não tem ideia de que sejam públicos, e o caminho para encontrá-los é exatamente o que os invasores usam.
Com uma descoberta recente, o ASM sinalizou um aplicativo web de logística voltado ao público e, como parte da enumeração de URL, baixou e analisou o pacote JavaScript compilado que estava sendo servido aos navegadores.
Enterrado naquele arquivo JS estava uma referência a uma API de back-end. Não em nenhum inventário de ativos. Não é algo que alguém expôs explicitamente. Mas ao vivo, público e totalmente aberto.
Os testadores humanos executaram a mesma solicitação que um invasor faria:
curl -s 'https://logisticsapi.[redigido].com/Logistics/api/customernotes/2631' | jq
O servidor respondeu. Sem token, sem credenciais.
Ao iterar pelos IDs dos endpoints, os testadores obtiveram:
Nomes de clientes, endereços de e-mail e notas de conta
Credenciais de texto simples para contas de clientes
Nomes de usuário e senhas de dispositivos padrão
Informações de rede interna para dispositivos implantados
Nomes de funcionários e endereços de e-mail
A cadeia completa, do site público à análise JS, à API oculta e ao despejo de dados não autenticados, reflete exatamente o que as ferramentas do invasor fazem durante a enumeração. A diferença aqui foi que a Sprocket Security chegou primeiro.
O problema agravado: você não sabe o que tem
A pesquisa de superfície de ataque da Unidade 42 descobriu que a superfície de ataque externa de uma organização média muda em mais de 300 novos serviços todos os meses. Mais de 20% dos serviços em nuvem acessíveis externamente são entregues mensalmente.
As equipes de segurança não estão acompanhando. A causa raiz da maioria das investigações de violação remonta a uma variação da mesma afirmação: “Não sabíamos que isso estava na Internet”.
Um ativo que você não conhece é aquele que você não pode corrigir, monitorar ou colocar off-line quando as coisas dão errado. E como o exemplo
Escrito por Topher Lyons – Sprocket Security
No momento em que um novo ativo obtém um endereço IP público, um relógio é iniciado. Não é lento. Implacável e automatizado. A diferença entre “isto acabou de ser publicado” e “isto está sendo investigado ativamente” é de minutos, não de dias.
Isso não é teórico. Com a ajuda do nosso ASM Community Edition, é isso que a Sprocket Security vê continuamente nos ambientes dos clientes, e é exatamente com isso que os invasores contam: sua equipe não saberá que algo está exposto até que seja tarde demais.
As primeiras 24 horas: um cronograma técnico
T+0: O ativo entra em operação.
Um desenvolvedor envia uma nova instância de nuvem. Uma regra de firewall mal configurada abre uma porta. Um portal de fornecedor é criado em um subdomínio que ninguém sinalizou. Seja qual for a causa, agora existe um novo endpoint roteável pela Internet e a segurança não recebe notificação.
T+5 a T+60 minutos: Os scanners encontram.
A infraestrutura de digitalização automatizada varre toda a Internet pública constantemente. Shodan, Censys, ShadowServer e outros indexam novos hosts continuamente (somente o Censys cobre dezenas de milhares de portas).
Dentro de uma hora, seu ativo tem suas portas abertas catalogadas, informações de banner coletadas (versão do servidor web, certificado TLS, impressão digital SSH) e assinaturas de resposta comparadas com bancos de dados de vulnerabilidades conhecidas.
T+1 a T+6 horas: Início da enumeração.
Agora seu ativo aparece nas consultas Shodan e Censys. As ferramentas de ataque automatizado iniciam sua própria passagem de reconhecimento: procurando versões de serviço, portas de gerenciamento abertas (RDP em 3389, SSH em 22, painéis de administração em 8080/8443) e certificados TLS que giram para domínios e subdomínios relacionados.
Se o seu novo ativo tiver um certificado, os invasores poderão aprender muito sobre sua infraestrutura mais ampla sem nunca tocar em algo que você estava observando.
T+6 a T+12 horas: Sondagem ativa.
A descoberta passiva muda para a segmentação ativa. Os dados do GreyNoise mostram picos de atividade do scanner nesta janela. O preenchimento de credenciais começa contra SSH e RDP. Os serviços da Web começam a ser atingidos pela força bruta de diretório. Bancos de dados como Elasticsearch e Redis são investigados quanto a acesso não autenticado. As estruturas são testadas em relação a CVEs conhecidos.
Nada disso precisa de um humano para começar. As botnets lidam com isso em grande escala, 24 horas por dia.
T+12 a T+24 horas: Compromisso.
Os pesquisadores da Unidade 42 implantaram 320 honeypots em provedores de nuvem (RDP, SSH, SMB, Postgres) para ver o que aconteceria. 80% foram comprometidos em 24 horas.
Para qualquer coisa executada com vulnerabilidades exploráveis, configurações incorretas ou credenciais padrão, isso é tudo o que é necessário para passar de “isso acabou de ser lançado” para “isso já pertence”.
Veja a superfície do seu ataque da mesma forma que os invasores fazem
O Sprocket Security ASM Community Edition encontra o que os invasores estão procurando (APIs ocultas, subdomínios esquecidos, serviços mal configurados) antes de encontrá-lo primeiro.
Obtenha visibilidade contínua da superfície de ataque externo, gratuitamente.
Obtenha visibilidade ASM
Exemplo do mundo real: a API oculta que ninguém sabia que existia
A linha do tempo acima pressupõe que você saiba o que está exposto. Algumas das exposições mais perigosas são ativos que sua equipe não tem ideia de que sejam públicos, e o caminho para encontrá-los é exatamente o que os invasores usam.
Com uma descoberta recente, o ASM sinalizou um aplicativo web de logística voltado ao público e, como parte da enumeração de URL, baixou e analisou o pacote JavaScript compilado que estava sendo servido aos navegadores.
Enterrado naquele arquivo JS estava uma referência a uma API de back-end. Não em nenhum inventário de ativos. Não é algo que alguém expôs explicitamente. Mas ao vivo, público e totalmente aberto.
Os testadores humanos executaram a mesma solicitação que um invasor faria:
curl -s 'https://logisticsapi.[redigido].com/Logistics/api/customernotes/2631' | jq
O servidor respondeu. Sem token, sem credenciais.
Ao iterar pelos IDs dos endpoints, os testadores obtiveram:
Nomes de clientes, endereços de e-mail e notas de conta
Credenciais de texto simples para contas de clientes
Nomes de usuário e senhas de dispositivos padrão
Informações de rede interna para dispositivos implantados
Nomes de funcionários e endereços de e-mail
A cadeia completa, do site público à análise JS, à API oculta e ao despejo de dados não autenticados, reflete exatamente o que as ferramentas do invasor fazem durante a enumeração. A diferença aqui foi que a Sprocket Security chegou primeiro.
O problema agravado: você não sabe o que tem
A pesquisa de superfície de ataque da Unidade 42 descobriu que a superfície de ataque externa de uma organização média muda em mais de 300 novos serviços todos os meses. Mais de 20% dos serviços em nuvem acessíveis externamente são entregues mensalmente.
As equipes de segurança não estão acompanhando. A causa raiz da maioria das investigações de violação remonta a uma variação da mesma afirmação: “Não sabíamos que isso estava na Internet”.
Um ativo que você não conhece é aquele que você não pode corrigir, monitorar ou colocar off-line quando as coisas dão errado. E como o exemplo
#samirnews #samir #news #boletimtec #o #que #acontece #nas #primeiras #24 #horas #após #a #entrada #em #operação #de #um #novo #ativo
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário