Корпоративные ИТ-системы стали иметь дело SSRF- или XXE-атаками
Российские специалисты говорят новом виде атак на критически важные бизнес-приложения. По словам Александра Полякова, технического директор компании Digital Security, корпоративные системы стали часто сталкиваться с так называемыми SSRF- или XXE-атаками. По его словам, традиционные атаки направлены непосредственно на целевую систему и относительно легко обнаруживаются IDS-системами или блокируются межсетевыми экранами. SSRF – пример более сложной атаки, которую труднее предотвратить, так как атака осуществляется не напрямую, а через посредника, и эксплойт передаётся в преобразованном виде, что затрудняет его обнаружение.
"Представьте, что у вас есть две системы (назовём их А и Б), которые доверяют друг другу, то есть соединение между ними не блокируется межсетевым экраном, так как между ними необходимо передавать некие данные. Система А – это, например, корпоративный портал, который обычно доступен из небезопасной сети, такой как Интернет. А другая система – это, скажем, ERP, и она недоступна из Интернета, но доверяет корпоративному порталу. Именно такова структура сети большинства компаний. Так вот SSRF-атака заключается в том, чтобы найти какой-нибудь уязвимый сервис в системе А, который сможет переслать зловредный запрос во внутреннюю сеть и таким образом перенаправить атаку в систему Б. Так злоумышленник сможет, обойдя межсетевые экраны и системы обнаружения вторжений, напрямую эксплуатировать уязвимости в якобы защищенных системах", - говорит он.
Специалисты говорят, что подобного рода атаки встречаются достаточно часто в отношении популярных корпоративных систем, например SAP ERP, хотя технически подобного рода атаки могут быть реализованы значительно шире. Если говорить об SSRF в целом, то такие атаки, как и все остальные угрозы, можно предотвратить, если вовремя устанавливать патчи и проводить тестирование сервисов на проникновение с помощью ИТ-специалистов в области безопасности приложений. Что же до частного случая SSRF-атаки, который называется туннелированием внешних сущностей XML (XXE tunneling), то все интерфейсы XML должны быть защищены от неавторизованного доступа, а использование внешних сущностей XML должно быть отключено, советуют эксперты.
Дополнительная опасность подобного рода нападений заключается в том, что большая часть существующих механизмов не может отразить эти атаки. "Лучшее, что можно сделать – это устанавливать патчи и не думать, будто межсетевого экрана достаточно, чтобы защитить систему. Что касается критичных бизнес-приложений, таких как SAP, то на данный момент в результаты скоординированной работы с производителем мы закрыли ряд архитектурных уязвимостей, позволяющих проводить подобные атаки, но это не означает, что не появится новых", - говорят в Digital Security.
Сами по себе критичные бизнес-системы подвержены угрозам промышленного шпионажа, саботажа, а также мошенничества. С помощью SSRF-атак можно реализовать любую из этих угроз в зависимости от типа эксплуатируемой уязвимости. В случае XXE-туннелирования наиболее простой атакой является отказ в обслуживании. Уязвимый сервис размножит ваш запрос, так что всего один пакет с определёнными данными заставит внешний портал переслать в бизнес-приложение тысячи запросов и в итоге «уронить» систему.
"Раньше пользователи, вместо того чтобы вовремя обновлять критичные системы, просто прятали их за межсетевыми экранами. А теперь такая защита обходится с помощью SSRF. Впрочем, сейчас для SSRF-атаки необходимы особые условия, но, как и в случае любой другой атаки, появление в Сети полноценного эксплойта с дружественным интерфейсом – всего лишь вопрос времени. Я уже получил большое количество обратной связи после своей презентации на BlackHat, в том числе уже появились первые инструменты для проведения SSRF-атак, например проксирование любых запросов через уязвимый сервис", - говорит Поляков.