DEF CON Защищенные веб-шлюзы (SWG) являются неотъемлемой частью корпоративной безопасности, поэтому шокирует тот факт, что, как сообщается, каждый SWG в магическом квадранте Gartner для SASE и SSE можно обойти, что позволяет злоумышленникам доставлять вредоносное ПО, не давая шлюзам обнаружить это.
Основатель SquareX и давний исследователь безопасности Вивек Рамачандран сказал, что, используя тактику, которую он назвал «пересборкой последней мили», ему удалось выявить более 25 различных методов обхода SWG, все из которых сводятся к одному и тому же базовому эксплойту: они пропускают многое из того, что происходит в современных веб-браузерах.
«[SWG] были изобретены почти 15, 17 лет назад [и] все начиналось как прокси-серверы для перехвата SSL», — рассказал нам Рамачандран. «Поскольку безопасность в облаке стала более важной, люди выстроили весь этот стек безопасности в облаке».
«Вот где действительно начинается проблема».
Рамачандран объясняет, что SWG в основном полагаются на свою способность определять атаки на уровне приложений из сетевого трафика до того, как он попадет в веб-браузер. Если, скажем, трафик не был распознан как вредоносный, SWG может не обнаружить его, вместо этого доставив его в браузер пользователя.
Именно это Рамачандран придумал, как сделать.
«Эти поставщики не могут это исправить», — сказал нам основатель SquareX, — «потому что… это фундаментальные архитектурные ошибки».
SWGing вредоносное ПО? Больше похоже на безрассудное пыхтение
Предпосылка пересборки последней мили, если вы еще не поняли это из названия, довольно проста.
«У злоумышленников есть доступ к вычислительной машине последней мили, которой является веб-браузер, где они могут запускать скрипты и пересборивать атаки в последнюю минуту», — сказал Рамачандран. «Для конечной жертвы опыт идентичен».
Рамачандран рассказал нам, что путем разделения или фрагментации вредоносного ПО, использования файлов Web Assembly, внедрения вредоносного ПО в другие файлы и иного разбиения вредоносных файлов на несколько небольших, неузнаваемых частей злоумышленник может доставить и заставить браузер повторно собрать вредоносное ПО, не давая SWG знать, что происходит загрузка.
«Я надеялся, что, поскольку эти фрагменты не похожи на настоящие файлы, они хотя бы вызовут тревогу», — сказал он. Увы, в основном они ничего не вызвали.
Большая часть причин, по которым вредоносный контент может быть легко передан контрабандой через SWG, связана с тем, что, как уже упоминалось, они устаревают и не оснащены для обработки сложности современного интернет-браузера. Обычно у SWG есть масса неконтролируемых каналов, включая gRPC, webRTC, WebSocket и WebTorrent, что означает, что данные, отправленные с помощью этих методов, остаются совершенно неконтролируемыми.
Когда Рамачандрана спросили о серьезности этой проблемы, он многое сказал. «Большинство поставщиков [SWG] знают о некоторых из этих атак, но это бы подорвало их подход». Он добавил, что «SWG останавливают только самые простые атаки».
Рамчандран сказал нам, что решение этой фундаментальной проблемы с помощью SWG, полагаясь на облако, — «глупое занятие», которое нарушает «всю модель облачной безопасности».
Чтобы обнаружить все атаки, которые придумали Рамачандран и команда SquareX, потребуется полная эмуляция каждой отдельной вкладки браузера, чтобы шлюз учитывал контекст приложения. Рамачандран считает, что с облаком это будет практически невозможно.
Ветеран кибербезопасности отказался назвать имена поставщиков, заявив, что не хочет никого стыдить, но хочет, чтобы специалисты по безопасности и руководители служб информационной безопасности знали, что то, на что они полагаются для защиты активности своих пользователей в Интернете, просто не работает.
Рамачандран также начинает подозревать, что некоторые из атак, о которых он расскажет сегодня на DEF CON, уже используются в реальных условиях. SquareX выпускает бесплатный инструмент для клиентов SWG, чтобы они могли проверить уязвимость своих собственных установок.
Что касается того, что компании могут сделать, чтобы защитить себя от таких атак, у Рамачандрана есть простое предложение: «Атаки происходят в браузере, но единственное место, где их можно обнаружить, — это конечная точка».
К сожалению, у многих клиентов SWG может не быть соответствующей защиты конечных точек, чтобы компенсировать недостатки SWG.
«Большая часть маркетинговой кампании этих поставщиков SASE и SSE заключается в том, что… мы уже фильтруем вредоносное ПО в облаке, поэтому вам не нужна защита конечной точки», — утверждает Рамачандран. «Просто позвольте всему происходить в облаке — зачем вам нужно управлять конечной точкой?»
Атаки на сборку последней мили кажутся вполне веской причиной. ®