Los investigadores de Vectra AI, un proveedor de servicios de detección y respuesta a amenazas, advirtieron sobre la importancia de adoptar un enfoque menos rígido y más dinámico para gestionar la explotación de día cero después de la divulgación, después de que pudieron romper una regla Suricata desarrollada por Proofpoint diseñada para detectar la explotación de una falla en los dispositivos Email Security Gateway (ESG) de Barracuda Networks. Barracuda reveló en mayo la existencia de CVE-2023-2868, una vulnerabilidad de inyección remota de comandos que conduce a la ejecución remota de código (RCE) presente en un subconjunto muy limitado de dispositivos ESG, pero no antes de que fuera explotada durante varios meses por un Actor de amenaza estatal chino. En un acontecimiento un tanto embarazoso, se determinó que el primer parche emitido por Barracuda era ineficaz, lo que dio lugar a una situación desafortunada en la que se tuvo que decir a los propietarios de los electrodomésticos afectados que se deshicieran de ellos y buscaran un reemplazo, independientemente de si estaban o no parcheados. . A pesar de esto, dijo Quentin Olagne de Vectra AI, el equipo de Amenazas Emergentes de Proofpoint lanzó posteriormente una regla de detección de Suricata (SID 2046280) diseñada para detectar intentos de explotación de CVE-2023-2868. Algún tiempo después, dijo Olagne, un cliente de Vectra AI expresó su preocupación sobre esta regla a la empresa, después de encontrar evidencia de que es posible que no esté funcionando como debería. “[We] «Descubrimos que la regla no alertaba sobre un exploit de prueba de concepto específico, a pesar de la entrega exitosa de la carga útil del exploit», escribió Olagne. “Analizamos la regla y el exploit relacionado e identificamos la brecha de detección específica, que fue causada por un orden no determinista del contenido relacionado con el exploit dentro de la carga útil del exploit. “Una vez identificada la brecha, pudimos reescribir una regla para brindar la cobertura de detección necesaria, [and] Después de enviar nuestros hallazgos al equipo de Amenazas Emergentes de Proofpoint, lanzaron una nueva regla de detección M2”, escribió. Olagne explicó que la regla original era defectuosa gracias a la presunción de que todos siguen las reglas, incluso los actores de amenazas. CVE-2023-2868 surgió de la validación de entrada incompleta de un archivo .TAR del proveedor del usuario en lo que respecta a los nombres de los archivos dentro de dicho archivo. Como tal, los nombres de archivos especialmente diseñados podrían dar lugar a una situación en la que el atacante podría ejecutar un comando del sistema con privilegios ESG. En el curso de la investigación de Vectra AI, Olagne encontró un archivo .TAR aún más manipulado que aún podría pasar una carga útil más allá de la regla Proofpoint porque el autor del exploit no siguió las reglas esperadas. Un archivo .TAR generado de forma normal sigue ciertas convenciones y reglas estándar que determinan los nombres de los archivos y su orden en el archivo; fueron estos nombres de archivos los que fueron explotados en los ataques originales, convirtiéndolos, de hecho, en comandos maliciosos. Si, dijo Olagne, el autor del exploit se vuelve “un poco astuto” con el código subyacente, puede ocultar estos comandos más allá de la regla de Proofpoint Suricata colocándolos no en el nombre del archivo en sí, sino en el encabezado. Por lo tanto, la regla no se activa porque estos encabezados no son deterministas con respecto a la regla original. En términos sencillos, la regla de detección busca en el lugar equivocado, por lo que pierde pistas vitales y el ataque continúa. Un final (mayormente) feliz Después de que Vectra AI informara a Proofpoint sobre esta omisión de regla, a finales de septiembre se publicó una regla Suricata revisada: esta es SID 2048146. Y como los usuarios de los electrodomésticos afectados ya deberían haber obtenido reemplazos no afectados de Barracuda, Probablemente sea poco probable que esta omisión de exploits se haya utilizado alguna vez de forma maliciosa. Sin embargo, dijo Olagne, es importante llamar la atención sobre el tema como una demostración de que «depender únicamente de reglas y estándares fijos tiene sus limitaciones en el panorama en constante evolución de la seguridad cibernética». “A través de este análisis, hemos sido testigos de un excelente ejemplo de las limitaciones de este enfoque, a través de la manipulación de una estructura de archivo TAR que permitía que una carga útil pasara [Proofpoint] Detección inicial de ET para CVE-2023-2868. Este evento subraya la urgencia de adoptar una estrategia de seguridad más adaptable y dinámica”, escribió. “De cara al futuro, es imperativo alejarnos de la rigidez y adoptar un paradigma de seguridad más holístico y proactivo. En lugar de limitarnos a reflexionar sobre las probabilidades de que se produzca otra infracción de las normas, deberíamos esforzarnos activamente por mejorar nuestras medidas de seguridad cibernética mediante la evolución constante de nuestros mecanismos de detección y defensa”. “Al reconocer las limitaciones de las reglas fijas, podemos prepararnos mejor para un futuro incierto donde las amenazas cibernéticas evolucionan continuamente. Al hacerlo, podemos fortalecer nuestra postura de seguridad y protegernos mejor contra actores maliciosos que persistentemente buscan eludir las reglas”, concluyó.

Source link