Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Новая техника взлома шлюзов SWG ставит под угрозу корпоративные сети

14/08/24

hack81-Aug-14-2024-09-12-18-8836-AM

Компания SquareX и её основатель Вивек Рамачандран, известный эксперт в области кибербезопасности, недавно обнаружили уязвимость в системах Secure Web Gateway (SWG), которые используются для защиты корпоративных сетей. Оказалось, что все SWG, включённые в рейтинг Gartner Magic Quadrant для SASE и SSE, можно обойти и загрузить вредоносное ПО на систему, не вызывая подозрений у систем безопасности. Это передаёт Securitylab.

Рамачандран разработал более 25 различных методов обхода SWG. Техника взлома называется «сборка на последнем этапе» (Last Mile Reassembly). Все методы обхода сводятся к одному базовому эксплойту — современные браузеры остаются вне поля зрения SWG систем.

SWG были созданы более 15 лет назад и первоначально использовались как SSL-прокси для перехвата трафика, но с развитием облачных технологий их функциональность стала значительно шире. Именно здесь и кроется основная проблема.

Большинство SWG опираются на способность распознавать атаки на уровне приложений по сетевому трафику до того, как трафик попадает в браузер. Если трафик не распознаётся как вредоносный, SWG пропускает его в браузер пользователя, и именно на этом этапе злоумышленник может выполнить атаку. Рамачандран утверждает, что такие уязвимости архитектуры настолько фундаментальны, что их невозможно исправить.

Методика «сборки на последнем этапе» использует простую идею: киберпреступник имеет доступ к компьютеру, которым в данном случае является браузер, и может в последний момент «собрать» атаку, используя различные техники.

Например, хакер может разбить вредоносное ПО, использовать файлы Web Assembly, скрыть вредоносное ПО в других файлах и другими способами разделить его на множество маленьких, неузнаваемых частей. После разбиения на части злоумышленник может доставить вредонос и заставить браузер собрать его без ведома системы безопасности.

Одной из причин такой уязвимости является возраст SWG. Системы не способны справляться с современной сложностью веб-браузеров, имея множество неконтролируемых каналов, таких как gRPC, webRTC, WebSocket и WebTorrent, которые остаются совершенно незамеченными.

Рамачандран утверждает, что производители SWG знают о существовании некоторых из обнаруженных уязвимостей, но исправление подорвало бы их подход к безопасности. Специалист отметил, что SWG способны останавливать только самые базовые атаки. Для полного выявления всех атак требовалась бы полная эмуляция каждого открытого окна браузера, чтобы шлюз был осведомлен о контексте приложения, что практически невозможно.

Хотя Рамачандран и не стал называть конкретных производителей, чтобы не создавать негативного фона, эксперт настоятельно рекомендует ИБ-специалистам и руководителям компаний осознать, что те системы, на которые они полагаются для защиты веб-активности пользователей, могут не справляться со своей задачей.

Рамачандран также подозревает, что некоторые из атак (представлены на Def Con) уже активно используются в реальных условиях. В связи с этим SquareX выпустила бесплатный инструмент для проверки уязвимости существующих настроек SWG.

Темы:ИсследованиеGartnerУгрозысетевые шлюзы
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...