Naukowcy z Sztuczna inteligencja Vectrydostawca usług wykrywania i reagowania na zagrożenia, przestrzegł, że ważne jest przyjęcie mniej sztywnego i bardziej dynamicznego podejścia do zarządzania eksploatacją typu zero-day po ujawnieniu informacji, po tym jak udało im się złamać zabezpieczenia opracowane przez Proofpoint Zasada Suricaty zaprojektowany do wykrywania wykorzystania luki w urządzeniach Email Security Gateway (ESG) firmy Barracuda Networks.
Istnienie CVE-2023-2868, luki umożliwiającej zdalne wstrzykiwanie poleceń prowadzącej do zdalnego wykonania kodu (RCE), występującej w bardzo ograniczonym podzbiorze urządzeń ESG, został ujawniony w maju przez firmę Barracuda – ale nie wcześniej był eksploatowany przez kilka miesięcy przez chiński podmiot stanowiący zagrożenie dla państwa.
W nieco zawstydzający sposób pierwsza łatka wydana przez firmę Barracuda została uznana za nieskuteczną, co doprowadziło do niefortunnej sytuacji, w której właściciele wadliwych urządzeń trzeba było się ich pozbyć i poszukać zastępstwaniezależnie od tego, czy zostały one załatane, czy nie.
Mimo to, powiedział Quentin Olagne z Vectra AI, zespół ds. pojawiających się zagrożeń w firmie Dowód następnie wypuściło regułę wykrywania Suricata (SID 2046280) zaprojektowaną do wykrywania prób wykorzystania CVE-2023-2868.
Jak dodała Olagne, jakiś czas później klient Vectry AI zgłosił w firmie zastrzeżenia dotyczące tej zasady po znalezieniu dowodów na to, że może ona nie działać tak, jak powinna.
„[We] odkryło, że reguła nie powiadomiła o konkretnym exploitie weryfikującym koncepcję, pomimo pomyślnego dostarczenia ładunku exploita” – napisała Olagne.
„Przeanalizowaliśmy regułę i powiązany exploit i zidentyfikowaliśmy konkretną lukę w wykrywaniu, która była spowodowana niedeterministycznym uporządkowaniem treści związanych z exploitem w ładunku exploita.
„Po zidentyfikowaniu luki mogliśmy przepisać regułę, aby zapewnić niezbędny zasięg wykrywania, [and] po przesłaniu naszych ustaleń zespołowi Proofpoint ds. pojawiających się zagrożeń opublikowano nową regułę wykrywania M2” – napisał.
Olagne wyjaśniła, że pierwotna zasada była wadliwa ze względu na założenie, że wszyscy jej przestrzegają, nawet podmioty stanowiące zagrożenie.
CVE-2023-2868 wynikał z niepełnej weryfikacji danych wejściowych pliku archiwum .TAR dostawcy użytkownika w zakresie nazw plików w tym archiwum. W związku z tym specjalnie spreparowane nazwy plików mogą spowodować, że osoba atakująca będzie mogła wykonać polecenie systemowe z uprawnieniami ESG.
W trakcie badań Vectra AI Olagne znalazła poddane dalszej manipulacji archiwum .TAR, które nadal mogło przesunąć ładunek poza regułę Proofpoint, ponieważ autor exploita nie przestrzegał oczekiwanych zasad.
Archiwum .TAR wygenerowane w normalny sposób podlega pewnym standardowym konwencjom i regułom, które określają nazwy plików i ich kolejność w archiwum – to właśnie te nazwy plików zostały wykorzystane w pierwotnych atakach, w efekcie zamieniając je w złośliwe polecenia.
Jeśli, jak stwierdziła Olagne, autor exploita stanie się „trochę przebiegły” w posługiwaniu się kodem bazowym, może przemycić te polecenia poza regułą Proofpoint Suricata, umieszczając je nie w samej nazwie pliku, ale w nagłówek.
Reguła nie jest zatem wyzwalana, ponieważ te nagłówki nie są deterministyczne w stosunku do oryginalnej reguły. Mówiąc laikiem, zasada wykrywania szuka w niewłaściwym miejscu, więc pomija istotne wskazówki i atak trwa.
(Przeważnie) szczęśliwe zakończenie
Po tym, jak Vectra AI zgłosiła obejście tej reguły do firmy Proofpoint, pod koniec września opublikowano poprawioną regułę Suricata – jest to SID 2048146. Ponieważ użytkownicy urządzeń, których dotyczy problem, powinni już otrzymać nienaruszone części zamienne od firmy Barracuda, jest prawdopodobnie mało prawdopodobne, że to obejście exploita było kiedykolwiek użyte złośliwie.
Jednakże, stwierdziła Olagne, ważne jest zwrócenie uwagi na tę kwestię jako demonstrację, że „poleganie wyłącznie na ustalonych zasadach i standardach ma swoje ograniczenia w stale zmieniającym się krajobrazie cyberbezpieczeństwa”.
„Dzięki tej analizie byliśmy świadkami doskonałego przykładu ograniczeń tego podejścia, polegającego na manipulacji strukturą archiwum TAR, która umożliwiła prześlizgnięcie się ładunku przez [Proofpoint] Początkowe wykrycie przez ET CVE-2023-2868. To wydarzenie podkreśla pilną potrzebę przyjęcia bardziej elastycznej i dynamicznej strategii bezpieczeństwa” – napisał.
„Patrząc w przyszłość, konieczne jest odwrócenie uwagi od sztywności i przyjęcie bardziej holistycznego, proaktywnego paradygmatu bezpieczeństwa. Zamiast po prostu zastanawiać się, czy nie dojdzie do kolejnego naruszenia zasad, powinniśmy aktywnie dążyć do udoskonalenia naszych środków bezpieczeństwa cybernetycznego poprzez ciągłe udoskonalanie naszych mechanizmów wykrywania i obrony”.
„Uznając ograniczenia ustalonych zasad, możemy lepiej przygotować się na niepewną przyszłość, w której zagrożenia cybernetyczne stale ewoluują. W ten sposób możemy wzmocnić nasz poziom bezpieczeństwa i lepiej chronić przed złośliwymi podmiotami, które nieustannie starają się ominąć zasady” – podsumował.