Как подключить Cloudflare

Защита от захвата аккаунтов и меры защиты от WAF, чтобы помочь остановить глобальные кампании грубой силы

Ранее сегодня международные агентства безопасности опубликовали рекомендации по кибербезопасности, в которых указываются широко распространенные атаки на государственные и частные цели по всему миру. Вы можете прочитать полный отчет здесь, в котором обсуждаются широко распространенные, распределенные и анонимные попытки доступа методом грубой силы с середины 2019 года и все еще активные до начала 2021 года.

Сегодня мы развернули средства защиты от атак WAF, чтобы защитить наших клиентов от атак такого типа.

И сегодня мы делаем открытую функцию проверки учетных данных защиты от захвата учетной записи доступной для всех платных планов без дополнительной оплаты. Мы планировали выпустить эти функции позже в этом месяце для части наших клиентов, но когда мы узнали об этой продолжающейся атаке, мы ускорили сроки выпуска и расширили тех, кто имеет право использовать средства защиты.

Атака, от которой мы сейчас защищаемся, проводилась в три основных этапа:

  1. Первоначальная компрометация учетной записи осуществляется путем перебора конечных точек аутентификации;
  2. После получения доступа обход сети был выполнен с использованием нескольких широко известных уязвимостей, включая, помимо прочего, CVE 2020-0688 и CVE 2020-17144, которые широко затрагивали серверы Microsoft Exchange;
  3. Развертывание удаленных оболочек, таких как вариант веб-оболочки reGeorg, и сетевая разведка для сбора дополнительной информации;

Обнаружение попыток входа в систему методом грубой силы

Результаты отчета подчеркивают растущую проблему повторного использования и компрометации паролей, которая затрагивает онлайн-приложения, включая государственные и крупные онлайн-ресурсы частного сектора.

В марте 2021 года, во время Недели безопасности, мы запустили бета-программу для новой функции под названием Exposed Credential Checks. Эта функция позволяет администраторам веб-сайтов получать уведомления о попытках входа в систему с использованием взломанной пары учетных данных имени пользователя и пароля. Это очень сильный сигнал для принудительной двухфакторной аутентификации, сброса пароля или просто увеличения количества журналов пользователей на время сеанса.

Начиная с сегодняшнего дня, все платные планы (например, Pro и выше) могут включать функцию проверки учетных данных защиты от захвата учетной записи. Мы приняли решение предоставить это большему количеству клиентов из-за серьезности отчета и постоянного характера попыток эксплуатации.

В то время как мы работаем над ускорением автоматического развертывания функции в этих планах, вы можете отправить заявку в службу поддержки с «Запросом активации защиты от захвата учетной записи» в строке темы, чтобы активировать ее вручную сегодня для ваших доменов.

Клиенты, которые еще не используют новый WAF, объявленный во время Недели безопасности, сначала будут обновлены до этой версии; все аккаунты, созданные после 6 мая 2021 года, уже находятся в новой версии. Затем набор правил, управляемых открытыми учетными данными, можно включить одним щелчком мыши и поддерживает следующие приложения из коробки:

Если этот параметр включен, всякий раз, когда обнаруживаются скомпрометированные учетные данные, к запросу на исходный сервер будет добавлен следующий заголовок:

Exposed-Credential-Check: 1

Сам по себе этот заголовок не обеспечивает дополнительной безопасности, но может использоваться исходным сервером для применения дополнительных мер, например, принудительной двухфакторной аутентификации или сброса пароля. Эту функцию также можно развернуть в режиме ведения журнала, чтобы легко идентифицировать атаки методом грубой силы, нацеленные на ваше приложение, с помощью панели управления Firewall Analytics.

Если ваше приложение не входит в набор защищенных приложений по умолчанию, при условии, что конечные точки входа в систему соответствуют одному из наших общих правил, функция будет работать должным образом. В настоящее время у нас есть два варианта:

Документацию для разработчиков можно найти здесь.

Обновление правил WAF

Помимо открытых проверок учетных данных, мы внесли улучшения в следующие правила WAF, которые вступают в силу немедленно:

Эти правила будут соответствовать полезным нагрузкам запроса, которые содержат вариант оболочки reGeorg, упомянутый в отчете. Усовершенствования правил основаны, но не ограничиваются, правилом Yara, указанным в рекомендациях по безопасности. Таким образом, правило блокирует полезные данные, которые содержат следующие сигнатуры и аналогичные варианты:

%@ Page Language=C#
StrTr
System.Net.IPEndPoint
Response.AddHeader
Socket

Дополнительные смягчения

Помимо мониторинга и защиты от атак с заполнением учетных данных с использованием наборов данных скомпрометированных учетных данных, администраторам безопасности следует внедрить дополнительные передовые методы для своих конечных точек аутентификации. Например, многофакторная аутентификация, функции тайм-аута и блокировки учетной записи, а также более строгие методы аутентификации, требующие «наличия» чего-то вроде жесткого токена или сертификата клиента, а не просто «знания» чего-то вроде имени пользователя и пароля. .

Cloudflare имеет ряд дополнительных функций, которые клиентам также рекомендуется развернуть, где это возможно, в своих средах, чтобы усилить свою безопасность:

Заключение

Атаки методом грубой силы являются распространенным и успешным средством получения начального доступа к частным сетям, особенно когда приложениям для аутентификации требуются только пары имени пользователя и пароля. В опубликованном сегодня отчете подтверждается широко распространенное использование этих атак с заполнением учетных данных для получения доступа и последующего обращения к дополнительным конфиденциальным ресурсам и данным с использованием других уязвимостей.

Клиенты Cloudflare защищены от этих автоматических атак двумя новыми правилами WAF, а также с помощью функции открытой проверки учетных данных нашего предложения по защите от захвата учетной записи. Мы сделали открытую функцию проверки учетных данных доступной сегодня для всех платных планов в преддверии нашего запланированного запуска в конце этого месяца. Если вы хотите, чтобы эта функция была включена, немедленно обратитесь в нашу службу поддержки, поскольку мы работаем над тем, чтобы включить ее для всех.

Что такое Cloudflare