Een van de meest effectieve manieren voor IT-professionals om de zwakke punten van een bedrijf te ontdekken voordat cybercriminelen dit doen, is door middel van penetratietesten. Door het simuleren van echte cyberaanvallen, bieden penetratietesten, vaak pentests genoemd, onschatbare informatie over de beveiligingsstatus van een organisatie, en tonen zwakke punten die kunnen leiden tot datalekken of andere veiligheidsincidenten.
Vonahi Security, de makers van vPenTest, een geautomatiseerd netwerk penetratietestplatform, heeft zojuist hun jaarlijkse rapport gepubliceerd, “De Top 10 Belangrijkste Pentestbevindingen 2024”. In dit rapport voerde Vonahi Security meer dan 10.000 geautomatiseerde netwerk-pentests uit, waarbij de top 10 voornaamste bevindingen van interne netwerk-penetratietests in meer dan 1.200 organisaties aan het licht kwamen.
Hieronder worden deze kritieke bevindingen nader bekendgemaakt om een ​​beter inzicht te krijgen in de veelvoorkomende exploiteerbare kwetsbaarheden waarmee organisaties worden geconfronteerd en hoe deze effectief aan te pakken.
1. Spoofing van Multicast DNS (mDNS)
Multicast DNS (mDNS) is een protocol dat wordt gebruikt in kleine netwerken om DNS-namen op te lossen zonder lokale DNS-server. Dit kan worden misbruikt door aanvallers die kunnen antwoorden met het IP-adres van hun eigen systeem.
Aanbevelingen:
- mDNS uitschakelen als het niet in gebruik is, wat kan worden bereikt door de Apple Bonjour-service of avahi-daemon uit te schakelen.
2. Spoofing van NetBIOS Naamservice (NBNS)
De NetBIOS Naamservice (NBNS) wordt gebruikt in interne netwerken om DNS-namen op te lossen als een DNS-server niet beschikbaar is. Dit kan worden misbruikt door aanvallers die kunnen antwoorden met het IP-adres van hun eigen systeem.
Aanbevelingen:
- Configureren van de registersleutel UseDnsOnlyForNameResolutions om te voorkomen dat systemen NBNS-verzoeken gebruiken.
- De NetBIOS-service voor alle Windows-hosts in het interne netwerk uitschakelen.
3. Spoofing van Lokale Link Multicast Naamresolutie (LLMNR)
LLMNR is een protocol dat wordt gebruikt in interne netwerken om DNS-namen op te lossen als een DNS-server niet beschikbaar is. Dit kan worden misbruikt door aanvallers.
Aanbevelingen:
- Configureren van de registersleutel van Lokale Link Multicast Naamresolutie om te voorkomen dat systemen LLMNR-verzoeken gebruiken.
- Gebruik Groepsbeleid om LLMNR uit te schakelen.
4. Spoofing van IPv6 DNS
IPv6 DNS-spoofing vindt plaats wanneer een nep-DHCPv6-server wordt ontplooid in een netwerk.
Aanbevelingen:
- IPv6 uitschakelen, tenzij het nodig is voor zakelijke operaties.
- DHCPv6-guard implementeren op netwerkswitches.
5. Verouderde Microsoft Windows-systemen
Een verouderd Windows-systeem is kwetsbaar voor aanvallen omdat het geen beveiligingsupdates meer ontvangt.
Aanbevelingen:
- Verouderde versies van Microsoft Windows vervangen door bijgewerkte en ondersteunde besturingssystemen.
6. Omzeiling van IPMI-authenticatie
De Intelligent Platform Management Interface (IPMI) stelt beheerders in staat om centraal servers te beheren, maar bevat kwetsbaarheden die aanvallers in staat stellen authenticatie te omzeilen.
Aanbevelingen:
- IPMI-toegang beperken tot een beperkt aantal systemen.
- De IPMI-service uitschakelen indien niet nodig.
- Het standaard administratorwachtwoord wijzigen naar een veiligere.
7. RCE-kwetsbaarheid van Microsoft Windows (BlueKeep)
Systemen die kwetsbaar zijn voor CVE-2019-0708 (BlueKeep) werden geïdentificeerd tijdens de tests.
Aanbevelingen:
- Beveiligingsupdates onmiddellijk toepassen op de betrokken systemen.
8. Hergebruik van lokaal administratorwachtwoord
Er werden veel systemen gevonden die hetzelfde lokale administratorwachtwoord delen.
Aanbevelingen:
- Oplossingen, zoals Microsoft Local Administrator Password Solution (LAPS), gebruiken om ervoor te zorgen dat lokale beheerderswachtwoorden niet consistent zijn.
9. RCE-kwetsbaarheid van Microsoft Windows (EternalBlue)
Systemen die kwetsbaar zijn voor MS17-010 (EternalBlue) werden geïdentificeerd tijdens de tests.
Aanbevelingen:
- Beveiligingsupdates onmiddellijk toepassen op de betrokken systemen.
10. CGI Injection van Dell EMC IDRAC 7/8 (CVE-2018-1207)
Versies van Dell EMC iDRAC7 / iDRAC8 die ouder zijn dan 2.52.52.52 zijn kwetsbaar voor CVE-2018-1207, wat aanvallers de mogelijkheid biedt om commando’s uit te voeren met root privileges.
Aanbevelingen:
- Update de firmware naar de nieuwste beschikbare versie.