Раскрыта фундаментальная уязвимость в защите, которую невозможно исправить.
Компания SquareX и её основатель Вивек Рамачандран, известный эксперт в области кибербезопасности, недавно обнаружили уязвимость в системах Secure Web Gateway (SWG), которые используются для защиты корпоративных сетей. Оказалось, что все SWG, включённые в рейтинг Gartner Magic Quadrant для SASE и SSE, можно обойти и загрузить вредоносное ПО на систему, не вызывая подозрений у систем безопасности.
Рамачандран разработал более 25 различных методов обхода SWG. Техника взлома называется «сборка на последнем этапе» (Last Mile Reassembly). Все методы обхода сводятся к одному базовому эксплойту — современные браузеры остаются вне поля зрения SWG систем.
SWG были созданы более 15 лет назад и первоначально использовались как SSL-прокси для перехвата трафика, но с развитием облачных технологий их функциональность стала значительно шире. Именно здесь и кроется основная проблема.
Большинство SWG опираются на способность распознавать атаки на уровне приложений по сетевому трафику до того, как трафик попадает в браузер. Если трафик не распознаётся как вредоносный, SWG пропускает его в браузер пользователя, и именно на этом этапе злоумышленник может выполнить атаку. Рамачандран утверждает, что такие уязвимости архитектуры настолько фундаментальны, что их невозможно исправить.
Методика «сборки на последнем этапе» использует простую идею: киберпреступник имеет доступ к компьютеру, которым в данном случае является браузер, и может в последний момент «собрать» атаку, используя различные техники.
Например, хакер может разбить вредоносное ПО, использовать файлы Web Assembly, скрыть вредоносное ПО в других файлах и другими способами разделить его на множество маленьких, неузнаваемых частей. После разбиения на части злоумышленник может доставить вредонос и заставить браузер собрать его без ведома системы безопасности.
Вредоносный файл пересобирается непосредственно в браузере в обход SWG
Одной из причин такой уязвимости является возраст SWG. Системы не способны справляться с современной сложностью веб-браузеров, имея множество неконтролируемых каналов, таких как gRPC, webRTC, WebSocket и WebTorrent, которые остаются совершенно незамеченными.
Рамачандран утверждает, что производители SWG знают о существовании некоторых из обнаруженных уязвимостей, но исправление подорвало бы их подход к безопасности. Специалист отметил, что SWG способны останавливать только самые базовые атаки. Для полного выявления всех атак требовалась бы полная эмуляция каждого открытого окна браузера, чтобы шлюз был осведомлен о контексте приложения, что практически невозможно.
Хотя Рамачандран и не стал называть конкретных производителей, чтобы не создавать негативного фона, эксперт настоятельно рекомендует ИБ-специалистам и руководителям компаний осознать, что те системы, на которые они полагаются для защиты веб-активности пользователей, могут не справляться со своей задачей.
Рамачандран также подозревает, что некоторые из атак (представлены на Def Con) уже активно используются в реальных условиях. В связи с этим SquareX выпустила бесплатный инструмент для проверки уязвимости существующих настроек SWG.
Для защиты от подобных атак компании должны сосредоточиться на защите на конечных устройствах. Именно в браузере и происходят атаки, и только здесь их можно обнаружить. Однако многие клиенты SWG могут не иметь достаточной защиты на конечных устройствах, так как полагаются на заявления поставщиков о том, что облачные решения способны полностью защитить от вредоносного ПО. Атаки с использованием «сборки на последнем этапе» становятся веским аргументом в пользу необходимости пересмотра подходов к защите конечных точек.
Одно найти легче, чем другое. Спойлер: это не темная материя