Wat je moet weten

Een van de meest effectieve manieren voor IT-professionals om de zwakke punten van een bedrijf te ontdekken voordat de slechteriken dat doen, is penetratietesten. Door cyberaanvallen uit de echte wereld te simuleren, bieden penetratietesten, ook wel pentests genoemd, waardevolle inzichten in de beveiligingspositie van een organisatie, waardoor zwakke punten aan het licht komen die mogelijk kunnen leiden tot datalekken of andere beveiligingsincidenten.

Vonahi Security, de makers van vPenTest, een geautomatiseerd platform voor het testen van netwerkpenetratie, heeft zojuist hun jaarverslag uitgebracht: “De Top 10 kritische pentestbevindingen 2024.” In dit rapport heeft Vonahi Security meer dan 10.000 geautomatiseerde netwerkpentests uitgevoerd, waarbij de top 10 bevindingen van interne netwerkpentests bij meer dan 1.200 organisaties aan het licht zijn gekomen.

Laten we elk van deze cruciale bevindingen onder de loep nemen om een ​​beter inzicht te krijgen in de veelvoorkomende kwetsbaarheden waarmee organisaties worden geconfronteerd en hoe deze effectief kunnen worden aangepakt.

Top 10 Pentest-bevindingen en aanbevelingen

1. Multicast DNS (MDNS)-spoofing

Multicast DNS (mDNS) is een protocol dat in kleine netwerken wordt gebruikt om DNS-namen om te zetten zonder een lokale DNS-server. Het verzendt vragen naar het lokale subnet, waardoor elk systeem kan reageren met het gevraagde IP-adres. Hiervan kan misbruik worden gemaakt door aanvallers die kunnen reageren met het IP-adres van hun eigen systeem.

Aanbevelingen:

De meest effectieve methode om misbruik te voorkomen is het volledig uitschakelen van mDNS als het niet wordt gebruikt. Afhankelijk van de implementatie kan dit worden bereikt door de Apple Bonjour- of Avahi-daemon-service uit te schakelen

2. NetBIOS Name Service (NBNS)-spoofing

NetBIOS Name Service (NBNS) is een protocol dat in interne netwerken wordt gebruikt om DNS-namen om te zetten wanneer een DNS-server niet beschikbaar is. Het zendt vragen uit over het netwerk en elk systeem kan reageren met het gevraagde IP-adres. Dit kan worden uitgebuit door aanvallers die kunnen reageren met het IP-adres van hun eigen systeem.

Aanbevelingen:

Hieronder volgen enkele strategieën om het gebruik van NBNS in een Windows-omgeving te voorkomen of de impact van NBNS-spoofing-aanvallen te verminderen:

  • Configureer de registersleutel UseDnsOnlyForNameResolutions om te voorkomen dat systemen NBNS-query's gebruiken (NetBIOS via TCP/IP-configuratieparameters). Stel het register DWORD in op
  • Schakel de NetBIOS-service uit voor alle Windows-hosts in het interne netwerk. Dit kan gedaan worden via DHCP-opties, netwerkadapterinstellingen of een registersleutel

3. Link-local Multicast Name Resolution (LLMNR)-spoofing

Link-Local Multicast Name Resolution (LLMNR) is een protocol dat in interne netwerken wordt gebruikt om DNS-namen om te zetten wanneer een DNS-server niet beschikbaar is. Het zendt zoekopdrachten uit over het netwerk, waardoor elk systeem kan reageren met het gevraagde IP-adres. Dit kan worden uitgebuit door aanvallers die kunnen reageren met het IP-adres van hun eigen systeem.

Aanbevelingen:

De meest effectieve methode om misbruik te voorkomen is het configureren van de registersleutel Multicast Name Resolution om te voorkomen dat systemen LLMNR-query's gebruiken.

  • Groepsbeleid gebruiken: ComputerconfiguratieBeheersjablonenNetwerkDNS Client Turn off Multicast Name Resolution = Ingeschakeld (Om een ​​Windows 2003 DC te beheren, gebruikt u de Remote Server Administration Tools voor Windows 7)
  • Alleen het register gebruiken voor Windows Vista/7/10 Home Edition: HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoft Windows NTDNSClient EnableMulticast

4. IPV6 DNS-spoofing

IPv6 DNS-spoofing vindt plaats wanneer een frauduleuze DHCPv6-server op een netwerk wordt geïmplementeerd. Omdat Windows-systemen de voorkeur geven aan IPv6 boven IPv4, zullen IPv6-compatibele clients de DHCPv6-server gebruiken, indien beschikbaar. Tijdens een aanval wordt aan deze clients een IPv6 DNS-server toegewezen, terwijl zij hun IPv4-configuraties behouden. Hierdoor kan de aanvaller DNS-verzoeken onderscheppen door clients opnieuw te configureren om het systeem van de aanvaller als DNS-server te gebruiken.

Aanbevelingen:

Schakel IPv6 uit, tenzij dit vereist is voor de bedrijfsvoering. Omdat het uitschakelen van IPv6 mogelijk een onderbreking van de netwerkdiensten kan veroorzaken, wordt ten zeerste aangeraden deze configuratie te testen voordat deze op grote schaal wordt geïmplementeerd. Een alternatieve oplossing zou zijn om DHCPv6-beveiliging op netwerkswitches te implementeren. In wezen zorgt DHCPv6-bewaking ervoor dat alleen een geautoriseerde lijst met DHCP-servers leases aan clients mag toewijzen

5. Verouderde Microsoft Windows-systemen

Een verouderd Microsoft Windows-systeem is kwetsbaar voor aanvallen omdat het geen beveiligingsupdates meer ontvangt. Dit maakt het een gemakkelijk doelwit voor aanvallers, die de zwakke punten kunnen misbruiken en zich mogelijk kunnen richten op andere systemen en bronnen in het netwerk.

Aanbevelingen:

Vervang verouderde versies van Microsoft Windows door besturingssystemen die up-to-date zijn en worden ondersteund door de fabrikant.

6. IPMI-authenticatie omzeilen

Met Intelligent Platform Management Interface (IPMI) kunnen beheerders servers centraal beheren. Sommige servers hebben echter kwetsbaarheden waardoor aanvallers de authenticatie kunnen omzeilen en wachtwoord-hashes kunnen extraheren. Als het wachtwoord standaard of zwak is, kunnen aanvallers het leesbare wachtwoord verkrijgen en op afstand toegang krijgen.

Aanbevelingen:

Omdat er voor dit specifieke beveiligingslek geen patch beschikbaar is, wordt aanbevolen een of meer van de volgende acties uit te voeren.

  • Beperk IPMI-toegang tot een beperkt aantal systemen – systemen die toegang vereisen voor administratieve doeleinden.
  • Schakel de IPMI-service uit als deze niet vereist is voor de bedrijfsvoering.
  • Wijzig het standaardbeheerderswachtwoord in een sterk en complex wachtwoord.
  • Gebruik alleen veilige protocollen, zoals HTTPS en SSH, op de service om de kans te beperken dat een aanvaller dit wachtwoord met succes kan verkrijgen bij een man-in-the-middle-aanval.

7. Microsoft Windows RCE (BlueKeep)

Tijdens het testen zijn systemen geïdentificeerd die kwetsbaar zijn voor CVE-2019-0708 (BlueKeep). Deze Microsoft Windows-kwetsbaarheid kan zeer goed worden misbruikt dankzij de beschikbare tools en code, waardoor aanvallers volledige controle kunnen krijgen over getroffen systemen.

Aanbevelingen:

Het wordt aanbevolen om beveiligingsupdates toe te passen op het getroffen systeem. Bovendien moet de organisatie haar patchbeheerprogramma evalueren om de reden voor het gebrek aan beveiligingsupdates vast te stellen. Aangezien dit beveiligingslek een vaak misbruikt beveiligingslek is en tot aanzienlijke toegang kan leiden, moet het onmiddellijk worden verholpen.

8. Hergebruik van lokaal beheerderswachtwoord

Tijdens de interne penetratietest bleek dat veel systemen hetzelfde lokale beheerderswachtwoord delen. Het compromitteren van één lokaal beheerdersaccount gaf toegang tot meerdere systemen, waardoor het risico op een wijdverbreide inbreuk binnen de organisatie aanzienlijk toenam.

Aanbevelingen:

Gebruik een oplossing zoals Microsoft Local Administrator Password Solution (LDAPS) om ervoor te zorgen dat het lokale beheerderswachtwoord op meerdere systemen niet consistent is.

9. Microsoft Windows RCE (EternalBlue)

Tijdens het testen werden systemen geïdentificeerd die kwetsbaar waren voor MS17-010 (EternalBlue). Deze Windows-kwetsbaarheid kan in hoge mate worden misbruikt dankzij de beschikbare tools en code, waardoor aanvallers volledige controle kunnen krijgen over getroffen systemen.

Aanbevelingen:

Het wordt aanbevolen om beveiligingsupdates toe te passen op het getroffen systeem. Bovendien moet de organisatie haar patchbeheerprogramma evalueren om de reden voor het gebrek aan beveiligingsupdates vast te stellen. Aangezien dit beveiligingslek een vaak misbruikt beveiligingslek is en tot aanzienlijke toegang kan leiden, moet het onmiddellijk worden verholpen.

10. Dell EMC IDRAC 7/8 CGI-injectie (CVE-2018-1207)

Dell EMC iDRAC7/iDRAC8-versies vóór 2.52.52.52 zijn kwetsbaar voor CVE-2018-1207, een probleem met opdrachtinjectie. Hierdoor kunnen niet-geverifieerde aanvallers opdrachten uitvoeren met rootrechten, waardoor ze volledige controle krijgen over het iDRAC-apparaat.

Aanbevelingen:

Upgrade de firmware naar de laatst mogelijke versie.

Veel voorkomende oorzaken van kritische Pentest-bevindingen

Hoewel elk van deze bevindingen voortkomt uit een andere exploit, zijn er enkele dingen die veel van hen gemeen hebben. De hoofdoorzaken van veel van de belangrijkste bevindingen van de pentest zijn nog steeds zwakke punten in de configuratie en tekortkomingen in de patching.

Zwakke punten in de configuratie

Zwakke punten in de configuratie zijn doorgaans te wijten aan onjuist versterkte services binnen systemen die door beheerders zijn geïmplementeerd, en bevatten problemen zoals zwakke/standaardreferenties, onnodig blootgestelde services of overmatige gebruikersrechten. Hoewel sommige zwakke punten in de configuratie onder beperkte omstandigheden kunnen worden misbruikt, zal de potentiële impact van een succesvolle aanval relatief groot zijn.

Het verhelpen van tekortkomingen

Tekortkomingen in de patching blijken nog steeds een groot probleem te zijn voor organisaties en zijn doorgaans te wijten aan compatibiliteits- en, vaak, configuratieproblemen binnen de patchbeheeroplossing.

Deze twee grote problemen alleen al bewijzen de noodzaak van frequente penetratietesten. Hoewel het jaarlijks testen de gebruikelijke aanpak is voor penetratietesten, bieden voortdurende tests een aanzienlijke hoeveelheid waarde bij het identificeren van significante hiaten die dichter bij de realtime context staan ​​van hoe beveiligingsrisico's tot aanzienlijke compromissen kunnen leiden. De Nessus-scanner van Tenable kan bijvoorbeeld LLMNR identificeren, maar alleen als informatief. Driemaandelijkse of maandelijkse netwerkpenetratietests met Vonahi's vPenTest benadrukken niet alleen deze problemen, maar verklaren ook hun potentiële impact.

Wat is vPenTest?

vPenTest is een toonaangevend, volledig geautomatiseerd netwerkpenetratietestplatform dat proactief helpt beveiligingsrisico's en inbreuken in de IT-omgeving van een organisatie te verminderen. Het neemt de rompslomp weg van het vinden van een gekwalificeerde netwerkpenetratietester en levert hoogwaardige resultaten die communiceren welke kwetsbaarheden zijn geïdentificeerd, welk risico ze voor de organisatie opleveren en hoe deze kwetsbaarheden vanuit technisch en strategisch oogpunt kunnen worden verholpen. Het beste van alles is dat het de compliance-managementcapaciteiten van de organisatie kan helpen versterken.

vPenTest

vPenTest: belangrijkste kenmerken en voordelen

  • Uitgebreide beoordelingen: Voer zowel interne als externe tests uit om alle potentiële toegangspunten in uw netwerk grondig te onderzoeken.
  • Simulatie uit de echte wereld: Simuleer echte cyberbedreigingen om waardevolle inzichten te krijgen in uw beveiligingspositie.
  • Tijdige en bruikbare rapportage: Ontvang gedetailleerde, eenvoudig te begrijpen rapporten met kwetsbaarheden, hun impact en aanbevolen acties.
  • Doorlopende tests: Stel maandelijkse testintervallen in om proactieve en responsieve beveiligingsmaatregelen te garanderen.
  • Efficiënte respons op incidenten: Identificeer kwetsbaarheden vroegtijdig om u effectief voor te bereiden op potentiële beveiligingsincidenten.
  • Nalevingsafstemming: Voldoe aan wettelijke nalevingsvereisten zoals SOC2, PCI DSS, HIPAA, ISO 27001 en cyberverzekeringsvereisten.

Vraag vandaag nog een gratis proefperiode aan en ontdek hoe eenvoudig het is om vPenTest te gebruiken om uw risico's op cyberaanvallen proactief in realtime te identificeren.

Probeer vPenTest gratis!

Thijs Van der Does