Linux Kernel ksmbd Vulnerability. Like enkelt å håndtere som så mye annet.

Tematikk:

Enda en alvorlig sårbarhet som VG testen fikser

Ja, da er det Log4J igjen, 1 år etter. Neida, det er ikke det, ikke i nærheten, men sårbarheten har allikevel fått en del oppmerksomhet og CVSS sårbarhets score 10 av 10, samme som Log4J. Så det haster igjen å patche, om du kjører ksmbd. Ser i noen artikler at den ble nedjustert, men vises fortsatt som 10 av 10 på Redhat sine sider:

https://access.redhat.com/solutions/6991749

(Artikkelbilde fra https://www.digi.no/artikler/sarbarhet-i-linux-kjernen-kan-gi-hvem-som-helst-full-systemtilgang/524633)

Berørte systemer:

Which products are affected?
https://www.wiz.io/blog/cve-2022-47939-critical-vulnerability-linux-kernel-ksmbd-module-everything-you-ne

Som sagt, enda en sårbarhet som kan kjøre fjernkommandoer på en Linux server med ksmbd aktivert uten krav om autentisering.

CISO paranoia

Å være CISO i en situasjon som dette betyr spørsmål:

Eksisterer det ksmbd på noen av Linux serverne? Hvem bruker det? Hva bruker det?

Er sårbarheten adressert?

Hvem har nettverkstilgang til disse serverene?

Hvordan er segmenteringen?

Hvordan er tilgangskontrollen på nettverket (Least Privilege)?

Hvordan står det til med VG testen for disse serverne?

Noen vil si denne sårbarheten ikke nødvendigvis er så kritisk. Fra et CISO ståsted vil den allikevel skape en del usikkerhet.

Hva kan/bør/må gjøres?

Patch

Kjører dere ksmbd må dere patche

Segmentering

Med god segmentering i datasenteret vil man skaffe seg bedre synlighet, som gir muligheten for bedre kontroll, både i eget datasenter og i skyen. Dette reduserer sannsynligheten for misbruk av denne og fremtidige sårbarheter, samt reduserer muligheten for videre misbruk som følge av en sårbarhet. Segmentering er en typisk ting man ser har stort forbedringspotensiale, noe som henger sammen med den gamle perimeter tankegangen. Meget viktig for sikkerheten å anta kompromittering, Assume Breach

Least Privilege

Etter å ha segmentert serverne etter god risikovurdering, er det viktig med god tilgangskontroll til og fra tjenesten/verdien, i dette tilfellet serveren. Tillat kun det som er høyst nødvendig for at produksjon skal kunne skje. Selv med god segmentering og hvitelisting (Least Privilege) kan sårbarheten utnyttes, men da bare fra de kildene man bevisst har tillatt. Og videre eskalering vil bli vanskelig om dette er adressert på skikkelig vis. Et suksessfullt angrep er typisk avhengig av flere operasjoner. Kill Chain

Med god segmentering og tilgangskontroll, skal/vil det være meget begrenset hva en server kan gjøre utgående, til andre servere.

VG testen

Har man utført VG testen og adressert den, slik at denne Linux serveren er begrenset til hva den kan gjøre mot internett, vil en typisk nedlasting av kode for videre angrep og skade vanskeliggjøres til nærmest det umulige. Dette er steg 6 i Lockheed Martin Cyber Kill Chain.

Konklusjon

Så… En sårbarhet er en sårbarhet. Om man ikke vet at man har den, eller er sen til å patche, betyr ikke det nødvendigvis katastrofe dersom de gode tiltakene er gjort. Patch, patch raskt, men enda viktigere er de proaktive og preventive tiltakene som er gjort basert på det menneskelige tankesettet #AssumeBreach. Anta at du har sårbarheter. Anta at du patcher for sent. Anta at passordene er på avveie. Anta at noen allerede er på innsiden. Gjør det vanskelig for dem å gjøre skade. Det er opp til oss mennesker.

Gøran Tømte to the rescue

Dette ligger i kjernen av det jeg brenner for og jobber med for kunder. Optimalisering av sikkerhet basert på disse prinsippene, og flere naturligvis, fordi de er så veldig viktige

https://www.zdnet.com/google-amp/article/patch-now-serious-linux-kernel-security-hole-uncovered/

https://www.cisecurity.org/advisory/a-vulnerability-in-ksmbd-for-linux-could-allow-for-remote-code-execution_2022-147

Picture of Gøran Tømte

Gøran Tømte

Gøran har jobbet i bransjen siden 1996 og trives best med ukjente utfordringer. Er utdannet høgskole ingeniør innen telematikk, og kontinuerlig selvlært innen sikkerhet basert på gode kollegaer, bransjen og generell nysgjerrighet og interesse

KONTAKT

Andre artikler

Stay Connected

More Updates

Leverandørkontroller

Viktigheten av kontroller ved tjenesteutsetting/kjøp av tjenester “Alle” tjenesteutsetter/kjøper tjenester. Men hvordan verifiseres og risikovurderes dette? Som kunde har man alltid 100% ansvar for sikkerheten,

Linux Kernel ksmbd Vulnerability. Like enkelt å håndtere som så mye annet.

Facebook
Twitter
LinkedIn

More to explorer