Lo Swascan Cyber Security Team ha identificato almeno 2 vulnerabilità critiche su quello che si credeva fosse il perimetro digitale di Xerox; identificate passivamente utilizzando lo strumento di Domain Threat Intelligence
(DTI).
DTI – Domain Threat Intelligence – è un servizio della Cyber Security Testing Cloud Suite di Swascan. Il servizio non esegue alcun test di sicurezza sul target e opera solo su informazioni disponibili sul web o sul dark web (Osint e Closint).
In linea con le best practice di Responsible Vulnerability Disclosure i risultati sono stati segnalati immediatamente a Xerox che ha proceduto a iniziare la sua indagine e rimediare tutte le possibili vulnerabilità.
Dettagli tecnici
Come spiegato, durante alcuni controlli di sicurezza passivi (utilizzando la DTI di Swascan) su alcuni domini internet ben conosciuti, il Cyber Security Research Team di Swascan ha rilevato alcune importanti vulnerabilità su due IP.
Fortemente basata su dati di intelligence pura, la Domain Threat Intelligence fornisce informazioni e indicatori utili per implementare migliori strategie di difesa cyber e migliorare la resilienza del vostro perimetro aziendale.
L’attività di raccolta della Threat Intelligence viene effettuata attraverso un processo di ricerca, individuazione e selezione di tutte le informazioni pubblicamente disponibili relative al dominio, sottodominio e email compromesse dell’interessato. Tutte queste informazioni vengono raccolte attraverso un’analisi completamente passiva.
Un esempio di Dashboard DTI
In questo caso, Swascan attraverso la DTI è stato in grado di rilevare 3 target con due vulnerabilità principali:
- User enumeration;
- RDP Network Level Authentication not configured
Non appena queste anomalie sono state rilevate, Swascan ha proceduto a informare lo Xerox PSIRT attraverso il processo di Responsible vulnerability disclosure, come da best practice del settore.
Erano inclusi tutti i proof of concepts di possibili exploit, una lista di indirizzi vulnerabili e tutte le attività di rimedio raccomandate.
In particolare le due vulnerabilità rilevate erano delle seguenti categorie:
- CWE-203: User Enumeration: L’applicazione web risponde ad alcune richieste HTTP in modo diverso a seconda che l’utente specificato esista o meno nell’archivio locale delle credenziali. Un potenziale attaccante potrebbe quindi fare richieste successive per enumerare gli utenti validi ed eseguire attacchi;
- CWE-287: RDP Network Level Authentication not configured: È stata rilevata una configurazione errata nell’autenticazione ai servizi Remote Desktop. L’autenticazione a livello di rete (NLA) non viene utilizzata per accedere al server, permettendo ad un attaccante di aprire una sessione RDP.
Swascan ha raccomandato a Xerox di aggiornare i servizi esposti e di implementare un’efficace politica di blocco dell’account in modo che il sistema blocchi gli IP dei potenziali aggressori se vengono fatti troppi tentativi di accesso falliti.
Da parte loro, lo Xerox PSIRT ha seguito rapidamente i suggerimenti e le informazioni fornite da Swascan, dimostrando ancora una volta l’importanza e il valore delle collaborazioni tra aziende di Cyber Security e fornitori di servizi IT.
Attraverso una propria indagine, Xerox ha stato scoperto che entrambi gli host non sono posseduti/gestiti da Xerox ed erano il risultato di un’associazione commerciale passata o attuale con un’organizzazione terza. Questi stati rimediati in modo appropriato e non sono più associati a Xerox. Tutti gli elementi presentati da Swascan sono attualmente risolti.
Pierguido Iezzi, CEO di Swascan, ha aggiunto: “Questo è un esempio da manuale di come i rischi di terze parti siano una delle parti più insidiose di un moderno Cyber Security Framework. La gestione del perimetro esteso è la chiave per un perimetro efficiente e resiliente”.
Come nota finale, Xerox ha ringraziato Swascan per aver portato questi elementi alla loro attenzione.
“I vostri sforzi e la vostra dedizione alla responsible disclosure sono apprezzati”.
