Ранее сегодня международные агентства безопасности опубликовали рекомендации по кибербезопасности, в которых указываются широко распространенные атаки на государственные и частные цели по всему миру. Вы можете прочитать полный отчет здесь, в котором обсуждаются широко распространенные, распределенные и анонимные попытки доступа методом грубой силы с середины 2019 года и все еще активные до начала 2021 года.
Сегодня мы развернули средства защиты от атак WAF, чтобы защитить наших клиентов от атак такого типа.
И сегодня мы делаем открытую функцию проверки учетных данных защиты от захвата учетной записи доступной для всех платных планов без дополнительной оплаты. Мы планировали выпустить эти функции позже в этом месяце для части наших клиентов, но когда мы узнали об этой продолжающейся атаке, мы ускорили сроки выпуска и расширили тех, кто имеет право использовать средства защиты.
Атака, от которой мы сейчас защищаемся, проводилась в три основных этапа:
- Первоначальная компрометация учетной записи осуществляется путем перебора конечных точек аутентификации;
- После получения доступа обход сети был выполнен с использованием нескольких широко известных уязвимостей, включая, помимо прочего, CVE 2020-0688 и CVE 2020-17144, которые широко затрагивали серверы Microsoft Exchange;
- Развертывание удаленных оболочек, таких как вариант веб-оболочки reGeorg, и сетевая разведка для сбора дополнительной информации;
Обнаружение попыток входа в систему методом грубой силы
Результаты отчета подчеркивают растущую проблему повторного использования и компрометации паролей, которая затрагивает онлайн-приложения, включая государственные и крупные онлайн-ресурсы частного сектора.
В марте 2021 года, во время Недели безопасности, мы запустили бета-программу для новой функции под названием Exposed Credential Checks. Эта функция позволяет администраторам веб-сайтов получать уведомления о попытках входа в систему с использованием взломанной пары учетных данных имени пользователя и пароля. Это очень сильный сигнал для принудительной двухфакторной аутентификации, сброса пароля или просто увеличения количества журналов пользователей на время сеанса.
Начиная с сегодняшнего дня, все платные планы (например, Pro и выше) могут включать функцию проверки учетных данных защиты от захвата учетной записи. Мы приняли решение предоставить это большему количеству клиентов из-за серьезности отчета и постоянного характера попыток эксплуатации.
В то время как мы работаем над ускорением автоматического развертывания функции в этих планах, вы можете отправить заявку в службу поддержки с «Запросом активации защиты от захвата учетной записи» в строке темы, чтобы активировать ее вручную сегодня для ваших доменов.
Клиенты, которые еще не используют новый WAF, объявленный во время Недели безопасности, сначала будут обновлены до этой версии; все аккаунты, созданные после 6 мая 2021 года, уже находятся в новой версии. Затем набор правил, управляемых открытыми учетными данными, можно включить одним щелчком мыши и поддерживает следующие приложения из коробки:
- WordPress
- Joomla
- Drupal
- Призрак
- Magento
- Plone
- Microsoft Exchange
Если этот параметр включен, всякий раз, когда обнаруживаются скомпрометированные учетные данные, к запросу на исходный сервер будет добавлен следующий заголовок:
Exposed-Credential-Check: 1
Сам по себе этот заголовок не обеспечивает дополнительной безопасности, но может использоваться исходным сервером для применения дополнительных мер, например, принудительной двухфакторной аутентификации или сброса пароля. Эту функцию также можно развернуть в режиме ведения журнала, чтобы легко идентифицировать атаки методом грубой силы, нацеленные на ваше приложение, с помощью панели управления Firewall Analytics.
Если ваше приложение не входит в набор защищенных приложений по умолчанию, при условии, что конечные точки входа в систему соответствуют одному из наших общих правил, функция будет работать должным образом. В настоящее время у нас есть два варианта:
- Конечная точка JSON (
application/json), который отправляет учетные данные с'email'а также'password'ключи, например{“email”:”[email protected]”, “password”:”pass”} - Стандартная HTML-форма для входа (
application/x-www-form-urlencoded) под URL-адресом, содержащим «логин». Поля формы должны быть названыusernameа такжеpasswordсоответственно;
Документацию для разработчиков можно найти здесь.
Обновление правил WAF
Помимо открытых проверок учетных данных, мы внесли улучшения в следующие правила WAF, которые вступают в силу немедленно:
- Улучшенное правило
100197 - Добавлено новое правило
100197B(по умолчанию отключено)
Эти правила будут соответствовать полезным нагрузкам запроса, которые содержат вариант оболочки reGeorg, упомянутый в отчете. Усовершенствования правил основаны, но не ограничиваются, правилом Yara, указанным в рекомендациях по безопасности. Таким образом, правило блокирует полезные данные, которые содержат следующие сигнатуры и аналогичные варианты:
%@ Page Language=C#
StrTr
System.Net.IPEndPoint
Response.AddHeader
Socket
Дополнительные смягчения
Помимо мониторинга и защиты от атак с заполнением учетных данных с использованием наборов данных скомпрометированных учетных данных, администраторам безопасности следует внедрить дополнительные передовые методы для своих конечных точек аутентификации. Например, многофакторная аутентификация, функции тайм-аута и блокировки учетной записи, а также более строгие методы аутентификации, требующие «наличия» чего-то вроде жесткого токена или сертификата клиента, а не просто «знания» чего-то вроде имени пользователя и пароля. .
Cloudflare имеет ряд дополнительных функций, которые клиентам также рекомендуется развернуть, где это возможно, в своих средах, чтобы усилить свою безопасность:
- Cloudflare Access может использоваться для обеспечения надежной многофакторной аутентификации как для внутренних, так и для внешних приложений и напрямую интегрируется с SSO и поставщиками удостоверений (IdP) вашей организации;
- По возможности, реализация правил взаимного TLS (mTLS) перед конечными точками аутентификации значительно повысит уровень безопасности приложения за счет отказа от использования паролей. Это может быть сделано как правило брандмауэра или как опция при настройке Cloudflare Access;
- Недавно мы анонсировали список управляемых IP-адресов, который будет содержать конечные точки Open Proxy, определенные с помощью разведки Cloudflare — этот список можно использовать при создании правил брандмауэра для защиты конечных точек аутентификации путем ввода кода Captcha (или других);
- Использование нашего обнаружения управления ботами недавно было расширено для всех платных планов самообслуживания с помощью нашего продукта Super Bot Fight Mode — этот продукт позволяет клиентам устанавливать правила для проверки / блокировки автоматизированного трафика, например, ботов, пытающихся атаковать методом грубой силы, в то время как разрешить проверенным ботам получать доступ к свойствам Интернета в обычном режиме.
Заключение
Атаки методом грубой силы являются распространенным и успешным средством получения начального доступа к частным сетям, особенно когда приложениям для аутентификации требуются только пары имени пользователя и пароля. В опубликованном сегодня отчете подтверждается широко распространенное использование этих атак с заполнением учетных данных для получения доступа и последующего обращения к дополнительным конфиденциальным ресурсам и данным с использованием других уязвимостей.
Клиенты Cloudflare защищены от этих автоматических атак двумя новыми правилами WAF, а также с помощью функции открытой проверки учетных данных нашего предложения по защите от захвата учетной записи. Мы сделали открытую функцию проверки учетных данных доступной сегодня для всех платных планов в преддверии нашего запланированного запуска в конце этого месяца. Если вы хотите, чтобы эта функция была включена, немедленно обратитесь в нашу службу поддержки, поскольку мы работаем над тем, чтобы включить ее для всех.
