Llegamos a ustedes gracias a:



Noticias

Rapid7 introduce la nueva plataforma AttackerKB

[16/04/2020] El proveedor de gestión de vulnerabilidades Rapid7 ha lanzado una nueva plataforma impulsada por la comunidad, que permite a los profesionales de la seguridad intercambiar información sobre las fallas emergentes para comprender mejor su impacto y determinar la probabilidad de que esas vulnerabilidades sean explotadas por los atacantes.

Llamada AttackerKB, la plataforma fue lanzada como un programa beta cerrado en enero y se abrió al público el 15 de abril. Una API abierta hará que los datos estén disponibles automáticamente para otros servicios y herramientas que utilizan los equipos de seguridad de las empresas.

"Escuchamos mucho de los miembros de la comunidad, ya sea de los contribuyentes al Metasploit Framework [la popular herramienta de pruebas de penetración de código abierto mantenida por Rapid7] o de los probadores de penetración que también son parte de esa comunidad, quienes dijeron: 'Mira, no tenemos un lugar donde podamos empezar a tratar realmente de reducir cuáles de estas vulnerabilidades son valiosas para los atacantes, así como el alto impacto asociado que los remediadores pueden obtener de la resolución de algunas vulnerabilidades'", señaló Cindy Stanton, vicepresidente de gestión de vulnerabilidades y riesgos de Rapid7.

Es un intento de añadir un nivel de contexto alrededor de las vulnerabilidades que se están publicando, para que la gente pueda obtener esa relación señal-ruido y un mejor lugar donde puedan preguntar: "¿Es esta vulnerabilidad realmente importante o no tan importante?" para que puedan ir a sus equipos de remediación con confianza, añade.

No todas las vulnerabilidades son creadas igual

Cuando los proveedores revelan públicamente las vulnerabilidades y las notas de parche en los avisos de seguridad, reciben una puntuación de severidad basada en un estándar de la industria llamado Sistema de Puntuación de Vulnerabilidades Comunes (CVSS). Aunque estas puntuaciones ayudan a los defensores a priorizar los parches y se utilizan ampliamente en los productos de gestión de vulnerabilidades, es bien sabido en la comunidad de seguridad que no siempre reflejan el riesgo inmediato. Las fallas con la misma o similar puntuación pueden suponer diferentes niveles de amenaza para las organizaciones o los sistemas, dependiendo de si ya se utilizan en los ataques o de la disponibilidad de código de explotación funcional para ellos.

Por ejemplo, dos vulnerabilidades remotas de ejecución de código que pueden ser atacadas a través de la red sin autenticación, y pueden llevar a un compromiso completo del sistema, pueden diferir significativamente cuando se trata del desarrollo de un exploit real. Esto significa que una falla podría ser más atractivo para los atacantes que el otro, aunque ambos son similares en otros aspectos. Además, las vulnerabilidades que ya se están explotando en estado salvaje plantean una amenaza mayor que las fallas similares para las que todavía no se dispone de código de explotación o para las que solo existe código de explotación de prueba de concepto.

Los exploits de prueba de concepto tienen por lo general por objeto demostrar la existencia de un problema en el código, por ejemplo, demostrando una falla de corrupción de la memoria al provocar una falla de la aplicación. Sobre la base de los detalles técnicos de la vulnerabilidad, los investigadores y los desarrolladores pueden determinar que el problema también puede, en teoría, dar lugar a una ejecución arbitraria del código, pero para lograrlo podría ser necesario encadenar fallas adicionales para revelar las direcciones de memoria protegidas o superar ciertas defensas a nivel del sistema. Si bien la falla puede ser catalogada y divulgada como una vulnerabilidad de ejecución de código arbitraria, no significa que la ejecución de código haya sido probada en la práctica.

Por consiguiente, la disponibilidad de cadenas de explotación plenamente funcionales y fiables puede suponer una gran diferencia para los defensores a la hora de establecer prioridades de parches o de desplegar otros mecanismos de mitigación y detección. Ese es el tipo de contexto adicional que AttackerKB está diseñado para proporcionar.

Un ejemplo reciente es CVE-2020-0796, también conocido como EternalDarkness o SMBGhost, una vulnerabilidad de ejecución de código remoto potencialmente utilizable en el protocolo Microsoft Server Message Block 3.1.1 (SMBv3), que está disponible en Windows 10 versión 1903 y posteriores. La vulnerabilidad fue revelada inadvertidamente el 10 de marzo cuando algunos socios de Microsoft la incluyeron en sus avisos de Patch Tuesday a pesar de que Microsoft retiró el parche poco antes de su lanzamiento programado. Esta situación significó que la existencia de una falla potencialmente muy seria -como la que aprovecharon los gusanos de rescate WannaCry y NotPetya- se hiciera pública sin que hubiera un parche oficial disponible.

Microsoft publicó una solución fuera de banda para la vulnerabilidad un par de días después, pero mientras tanto, AttackerKB comenzó a compartir información a medida que estaba disponible. Esto incluía enlaces al código de explotación de la prueba de concepto y sus propias evaluaciones del riesgo que la vulnerabilidad planteaba.

"Esto todavía va a ser un infierno para desarrollar un exploit útil debido a la limitada base de instalación en el mundo real para esta versión particular de Windows, especialmente en el lado del servidor, y las mejoras de ASLR para Windows 10 que hacen de esto un PITA sin una fuga de información", comentó un experto el 15 de marzo. "Y, hoy en día con todos los Coronavirus secuestrados, es improbable que infrinja algún tipo de explotación a escala si todos están en casa en una VPN aislada en el host y literalmente inaccesible desde un PoV de red masiva en una oficina. Hey, tal vez trabajar desde casa es bueno para la seguridad!"

Además de los comentarios, los usuarios de AttackerKB pueden añadir ciertas etiquetas a sus evaluaciones. Se trata de características de vulnerabilidad que pueden reflejar un mayor riesgo de ataque como "común en la empresa", "presente en la configuración por defecto", "permite un acceso de alto privilegio", "preautenticación", "fácil de armar", mientras que otras reflejan un riesgo menor como "requiere acceso físico" o "sin acceso útil".

Los usuarios también pueden clasificar los defectos según el "valor del atacante" y la "explotabilidad" con valores que van de muy bajos a muy altos. Estas clasificaciones pueden ser muy útiles para los defensores cuando proceden de los probadores de penetración, que por lo general tienen mucha experiencia en el uso de exploits, o de los colaboradores de Metasploit que tienen experiencia en la redacción de exploits.

Una brecha en la información sobre vulnerabilidad de código abierto

La mayoría de los profesionales de la informática están familiarizados con el catálogo de Vulnerabilidades y Exposiciones Comunes (CVE) -la fuente de identificadores de vulnerabilidad únicos- y la Base de Datos Nacional de Vulnerabilidad (NVD), el depósito público de información sobre vulnerabilidad del gobierno de los Estados Unidos. Ninguna de estas bases de datos está completa y ha sido objeto de fuertes críticas por parte de la comunidad de seguridad en los últimos años. CVE no cubre las vulnerabilidades en ciertos tipos de productos, mientras que NVD ha sido lenta en publicar información sobre algunas vulnerabilidades incluso después de haber sido conocidas y documentadas públicamente durante mucho tiempo.

Algunos proveedores de inteligencia sobre vulnerabilidades mantienen sus propias bases de datos de vulnerabilidades, más completas, que son utilizadas por sus propios productos o están licenciadas a otros. Mientras tanto, algunas bases de datos impulsadas por la comunidad, como la Open Sourced Vulnerability Database (OSVDB), se han cerrado en los últimos años.