Pogoste ranljivosti v slovenskih podjetjih

Na podlagi let penetracijskega testiranja slovenskih organizacij v različnih sektorjih — od proizvodnje in energetike do finančnih storitev in javne uprave — sem prepoznal ponavljajoče se vzorce ranljivosti, ki prizadevajo večino podjetij, ki jih ocenjujem. Te ugotovitve predstavljajo dejanske varnostne slabosti, ki bi jih napadalec izkoristil. Razumevanje teh vzorcev je prvi korak k njihovemu odpravljanju.

Active Directory

Active Directory ostaja hrbtenica upravljanja identitet v praktično vsakem slovenskem podjetju, ki ga testiram, in je dosledno najvplivnejša površina napada.

• Šibka gesla servisnih računov: Servisni računi za SQL Server, varnostno kopiranje in prilagojene aplikacije pogosto imajo šibka gesla, nespremenjena leta. V številnih podjetjih so bili ti računi konfigurirani med začetno namestitvijo s strani zunanjih integratorjev in pozabljeni. Ker imajo pogosto povišane privilegije, kompromitiranje enega zagotovi neposredno pot do skrbnika domene.
• Računi, dovzetni za Kerberoasting: Računom z nastavljenimi SPN-ji lahko kateri koli uporabnik domene zahteva vstopnice Kerberos in jih razbije brez povezave. Takšne račune z razbitljivimi gesli najdem v večini slovenskih AD okolij. Popravek je enostaven, a ozaveščenost ostaja nizka.
• Pretirani privilegiji: Razraščanje članstev v skupinah je endemično. Uporabniki se kopičijo v privilegiranih skupinah skozi leta brez odvzema dovoljenj. V več organizacijah sem ugotovil, da ima več kot 10 % računov neko obliko administrativnih privilegijev.
• Omogočeni zastareli protokoli: NTLM, LLMNR, NBT-NS ostajajo omogočeni v številnih okoljih, kar omogoča napade posredovanja in zajem poverilnic.

Spletne aplikacije

Slovenska podjetja se vse bolj zanašajo na spletne aplikacije, določeni vzorci ranljivosti pa se ponavljajo z zaskrbljujočo rednostjo.

• Zastarela ogrodja in CMS: Instalacije WordPress, Joomla in Drupal z znanimi kritičnimi ranljivostmi so pogoste. Številna MSP so pred leti naročila razvoj strani in od takrat niso vzdrževala programske opreme.
• SQL injection v zastarelih aplikacijah: Starejše notranje aplikacije, zlasti po meri zgrajena orodja za upravljanje, pogosto vsebujejo SQL injection. Razvite so bile, preden so prakse varnega kodiranja postale uveljavljene. V okviru NIS2 organizacije ne morejo več upravičevati puščanja teh ranljivosti neobravnavanih.
• Nezadostna validacija vnosa: XSS, prehod poti in vrivanje ukazov so posledica neustrezne validacije. Tudi na novo razvite aplikacije včasih nimajo ustrezne validacije.
• Manjkajoče varnostne glave: Content Security Policy, X-Frame-Options in HSTS so odsotne pri številnih slovenskih spletnih aplikacijah, kar odstranjuje plasti obrambe.

Omrežje

Težave z omrežno arhitekturo vplivajo na radij eksplozije vsake uspešne kompromitacije. Ranljivost v enem sistemu postane katastrofalna, ko omrežje omogoča neomejeno bočno gibanje.

• Ravna omrežna arhitektura: Številna slovenska MSP upravljajo omrežja z minimalno segmentacijo. Vsi sistemi si delijo isti segment, zato kompromitiranje ene delovne postaje omogoča dostop do vsega.
• Nešifriran notranji promet: LDAP brez TLS, HTTP za notranje aplikacije in nešifrirane povezave do podatkovnih baz so pogoste ugotovitve.
• Privzete poverilnice na napravah: Omrežne naprave, tiskalniki in naprave IoT pogosto ohranijo tovarniško privzete nastavitve. V enem angažmaju sem pridobil dostop do osrednje infrastrukture prek vmesnika tiskalnika z admin/admin.
• Nezadostna segmentacija: Tudi organizacije z neko segmentacijo pogosto imajo preveč odprta pravila požarnega zidu, ki izničijo arhitekturo.

Človeški dejavniki

Ocene socialnega inženiringa dosledno razkrivajo, da človeški element ostaja najšibkejši člen.

• Dovzetnost za phishing: Simulacije, usmerjene v slovenske organizacije, dosežejo stopnje klikov 15–30 %. E-sporočila v slovenščini, ki se sklicujejo na eDavki, FURS ali lokalne banke, so posebej učinkovita.
• Ponovna uporaba gesel: Uporabniki ponovno uporabijo gesla med podjetniškimi in osebnimi računi. V kombinaciji s pomanjkanjem večfaktorske avtentikacije je to posebej problematično.
• Pomanjkanje varnostne ozaveščenosti: Številni zaposleni nikoli niso prejeli formalnega usposabljanja. Ne prepoznavajo tehnik socialnega inženiringa in ne razumejo postopkov poročanja.
• Shadow IT: Neodobrene oblačne storitve in osebne naprave ustvarjajo vrzeli v vidnosti. V slovenskih MSP z omejenimi IT viri je shadow IT posebej razširjen.

Priporočila

Odpravljanje teh ranljivosti ne zahteva ogromnih proračunov. Začnite z najvplivnejšimi izboljšavami: implementirajte večfaktorsko avtentikacijo na vseh navzven obrnjenih storitvah, preglejte in zmanjšajte privilegije AD, segmentirajte omrežje ter izvajajte redno usposabljanje o varnostni ozaveščenosti v slovenščini. Profesionalni penetracijski test bo razkril vašo specifično izpostavljenost. Z bližajočim se uveljavljanjem NIS2 stroški neukrepanja zdaj presegajo stroške smiselnih varnostnih naložb.