Uma das maneiras mais eficazes para os profissionais de tecnologia da informação (TI) descobrirem os pontos fracos de uma empresa antes que os bandidos o façam é o teste de penetração. Ao simular ataques cibernéticos do mundo actual, os testes de penetração, às vezes chamados de pentests, fornecem informações valiosas sobre a postura de segurança de uma organização, revelando pontos fracos que podem levar a violações de dados ou outros incidentes de segurança.
A Vonahi Safety, criadora do vPenTest, uma plataforma automatizada de testes de penetração de rede, acaba de lançar seu relatório anual, “As 10 principais descobertas críticas do Pentest 2024”. Neste relatório, a Vonahi Safety conduziu mais de 10.000 testes de invasão de rede automatizados, revelando as 10 principais descobertas de testes de rede internos em mais de 1.200 organizações.
Vamos nos aprofundar em cada uma dessas descobertas críticas para entender melhor as vulnerabilidades exploráveis comuns que as organizações enfrentam e como resolvê-las de maneira eficaz.
As 10 principais descobertas e recomendações do Pentest
1. Falsificação de DNS multicast (MDNS)
Multicast DNS (mDNS) é um protocolo usado em pequenas redes para resolver nomes DNS sem um servidor DNS native. Envia consultas à sub-rede native, permitindo que qualquer sistema responda com o endereço IP solicitado. Isto pode ser explorado por invasores que podem responder com o endereço IP do seu próprio sistema.
Recomendações:
O método mais eficaz para prevenir a exploração é desabilitar completamente o mDNS se ele não estiver sendo usado. Dependendo da implementação, isso pode ser conseguido desabilitando o serviço Apple Bonjour ou avahi-daemon
2. Falsificação do serviço de nomes NetBIOS (NBNS)
NetBIOS Identify Service (NBNS) é um protocolo usado em redes internas para resolver nomes DNS quando um servidor DNS não está disponível. Ele transmite consultas pela rede e qualquer sistema pode responder com o endereço IP solicitado. Isto pode ser explorado por invasores que podem responder com o endereço IP do seu próprio sistema.
Recomendações:
A seguir estão algumas estratégias para impedir o uso de NBNS em um ambiente Home windows ou reduzir o impacto de ataques de falsificação de NBNS:
- Configure a chave de registro UseDnsOnlyForNameResolutions para evitar que os sistemas usem consultas NBNS (NetBIOS sobre parâmetros de configuração TCP/IP). Defina o registro DWORD para
- Desative o serviço NetBIOS para todos os hosts Home windows na rede interna. Isso pode ser feito por meio de opções de DHCP, configurações do adaptador de rede ou uma chave de registro
3. Falsificação de resolução de nome multicast native de hyperlink (LLMNR)
Hyperlink-Native Multicast Identify Decision (LLMNR) é um protocolo usado em redes internas para resolver nomes DNS quando um servidor DNS está indisponível. Ele transmite consultas pela rede, permitindo que qualquer sistema responda com o endereço IP solicitado. Isto pode ser explorado por invasores que podem responder com o endereço IP do seu próprio sistema.
Recomendações:
O método mais eficaz para prevenir a exploração é configurar a chave de registro da Resolução de Nomes Multicast para evitar que os sistemas usem consultas LLMNR.
- Usando Política de Grupo: Configuração do ComputadorModelos AdministrativosRedeCliente DNS Desativar Resolução de Nome Multicast = Habilitado (Para administrar um DC do Home windows 2003, use as Ferramentas de Administração de Servidor Remoto para Home windows 7)
- Usando o registro apenas para Home windows Vista/7/10 Residence Version: HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoft Home windows NTDNSClient EnableMulticast
4. Falsificação de DNS IPV6
A falsificação de DNS IPv6 ocorre quando um servidor DHCPv6 não autorizado é implantado em uma rede. Como os sistemas Home windows preferem IPv6 a IPv4, os clientes habilitados para IPv6 usarão o servidor DHCPv6, se disponível. Durante um ataque, um servidor DNS IPv6 é atribuído a esses clientes, enquanto eles mantêm suas configurações IPv4. Isso permite que o invasor intercepte solicitações de DNS reconfigurando os clientes para usar o sistema do invasor como servidor DNS.
Recomendações:
Desative o IPv6, a menos que seja necessário para operações comerciais. Como a desativação do IPv6 pode causar uma interrupção nos serviços de rede, é altamente recomendável testar esta configuração antes da implantação em massa. Uma solução alternativa seria implementar a proteção DHCPv6 nos switches de rede. Essencialmente, a proteção DHCPv6 garante que apenas uma lista autorizada de servidores DHCP tenha permissão para atribuir concessões a clientes
5. Sistemas Microsoft Home windows desatualizados
Um sistema Microsoft Home windows desatualizado é vulnerável a ataques porque não recebe mais atualizações de segurança. Isto torna-o um alvo fácil para os atacantes, que podem explorar as suas fraquezas e potencialmente migrar para outros sistemas e recursos na rede.
Recomendações:
Substitua versões desatualizadas do Microsoft Home windows por sistemas operacionais atualizados e com suporte do fabricante.
6. Ignorar autenticação IPMI
A Interface Inteligente de Gerenciamento de Plataforma (IPMI) permite que os administradores gerenciem servidores centralmente. No entanto, alguns servidores apresentam vulnerabilidades que permitem que invasores ignorem a autenticação e extraiam hashes de senha. Se a senha for padrão ou fraca, os invasores poderão obter a senha em texto simples e obter acesso remoto.
Recomendações:
Como não há patch disponível para esta vulnerabilidade específica, é recomendável executar uma ou mais das ações a seguir.
- Restrinja o acesso do IPMI a um número limitado de sistemas – sistemas que requerem acesso para fins de administração.
- Desative o serviço IPMI se ele não for necessário para operações comerciais.
- Altere a senha do administrador padrão para uma senha forte e complexa.
- Use apenas protocolos seguros, como HTTPS e SSH, no serviço para limitar as possibilities de um invasor obter essa senha com sucesso em um ataque man-in-the-middle.
7. Microsoft Home windows RCE (BlueKeep)
Os sistemas vulneráveis ao CVE-2019-0708 (BlueKeep) foram identificados durante os testes. Esta vulnerabilidade do Microsoft Home windows é altamente explorável devido às ferramentas e códigos disponíveis, permitindo que os invasores obtenham controle complete sobre os sistemas afetados.
Recomendações:
Recomenda-se aplicar atualizações de segurança no sistema afetado. Além disso, a organização deve avaliar o seu programa de gerenciamento de patches para determinar o motivo da falta de atualizações de segurança. Como esta vulnerabilidade é comumente explorada e pode resultar em acesso significativo, ela deve ser corrigida imediatamente.
8. Reutilização de senha de administrador native
Durante o teste de penetração interno, descobriu-se que muitos sistemas compartilhavam a mesma senha de administrador native. O comprometimento de uma conta de administrador native proporcionou acesso a vários sistemas, aumentando significativamente o risco de um comprometimento generalizado dentro da organização.
Recomendações:
Use uma solução como a Microsoft Native Administrator Password Resolution (LDAPS) para garantir que a senha do administrador native em vários sistemas não seja consistente.
9. Microsoft Home windows RCE (EternalBlue)
Os sistemas vulneráveis ao MS17-010 (EternalBlue) foram identificados durante os testes. Esta vulnerabilidade do Home windows é altamente explorável devido às ferramentas e códigos disponíveis, permitindo que os invasores obtenham controle complete sobre os sistemas afetados.
Recomendações:
Recomenda-se aplicar atualizações de segurança no sistema afetado. Além disso, a organização deve avaliar o seu programa de gerenciamento de patches para determinar o motivo da falta de atualizações de segurança. Como esta vulnerabilidade é comumente explorada e pode resultar em acesso significativo, ela deve ser corrigida imediatamente.
10. Injeção Dell EMC IDRAC 7/8 CGI (CVE-2018-1207)
As versões do Dell EMC iDRAC7/iDRAC8 anteriores à 2.52.52.52 são vulneráveis ao CVE-2018-1207, um problema de injeção de comando. Isso permite que invasores não autenticados executem comandos com privilégios de root, dando-lhes controle complete sobre o dispositivo iDRAC.
Recomendações:
Atualize o firmware para a versão mais recente possível.
Causas Comuns de Resultados Críticos de Pentest
Embora cada uma dessas descobertas tenha surgido de uma exploração diferente, há algumas coisas que muitas delas têm em comum. As causas principais de muitas das principais descobertas críticas do pentest continuam sendo fraquezas de configuração e deficiências de patches.
Fraquezas de configuração
Os pontos fracos de configuração geralmente se devem a serviços reforçados inadequadamente em sistemas implantados por administradores e contêm problemas como credenciais fracas/padrão, serviços expostos desnecessariamente ou permissões de usuário excessivas. Embora alguns dos pontos fracos da configuração possam ser explorados em circunstâncias limitadas, o impacto potencial de um ataque bem-sucedido será relativamente elevado.
Corrigindo deficiências
As deficiências de patches ainda são um grande problema para as organizações e geralmente se devem a motivos como compatibilidade e, muitas vezes, problemas de configuração na solução de gerenciamento de patches.
Estas duas questões principais por si só comprovam a necessidade de testes de penetração frequentes. Embora os testes anuais tenham sido a abordagem common para testes de penetração, os testes contínuos fornecem uma quantidade significativa de valor na identificação de lacunas significativas mais próximas do contexto em tempo actual de como os riscos de segurança podem levar a comprometimentos significativos. Por exemplo, o scanner Nessus da Tenable pode identificar LLMNR, mas apenas como informativo. Os testes de penetração de rede trimestrais ou mensais com o vPenTest da Vonahi não apenas destacam esses problemas, mas também explicam seu impacto potencial.
O que é vPenTest?
vPenTest é uma plataforma líder e totalmente automatizada de testes de penetração de rede que ajuda proativamente a reduzir riscos e violações de segurança no ambiente de TI de uma organização. Ele elimina o incômodo de encontrar um testador de penetração de rede qualificado e fornece resultados de qualidade que comunicam quais vulnerabilidades foram identificadas, quais riscos elas apresentam para a organização e como remediar essas vulnerabilidades do ponto de vista técnico e estratégico. O melhor de tudo é que pode ajudar a reforçar as capacidades de gestão de conformidade da organização.
vPenTest: principais recursos e benefícios
- Avaliações abrangentes: Execute testes internos e externos para examinar minuciosamente todos os possíveis pontos de entrada na sua rede.
- Simulação do mundo actual: Simule ameaças cibernéticas do mundo actual para obter informações valiosas sobre sua postura de segurança.
- Relatórios oportunos e acionáveis: Receba relatórios detalhados e fáceis de entender com vulnerabilidades, seus impactos e ações recomendadas.
- Testes contínuos: Defina intervalos de testes mensais para garantir medidas de segurança proativas e responsivas.
- Resposta eficiente a incidentes: Identifique vulnerabilidades antecipadamente para se preparar de forma eficaz para possíveis incidentes de segurança.
- Alinhamento de Conformidade: Atenda aos requisitos de conformidade regulatória, como SOC2, PCI DSS, HIPAA, ISO 27001 e requisitos de seguro cibernético.
Faça uma avaliação gratuita hoje e veja como é fácil usar o vPenTest para identificar proativamente seus riscos de ataques cibernéticos em tempo actual.
Experimente o vPenTest grátis!