Карточка риска

Куда я попал?

SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Подробнее

Наш канал

Угроза

Повышение привилегий в ОС

из-за уязвимости

Возможность использовать переменную окружения LD_PRELOAD

в Активе

ОС Linux

Описание угрозы

Повышение привилегий — это использование компьютерного бага, уязвимостей, ошибки в конфигурации операционной системы или программного обеспечения с целью повышения уровня доступа к вычислительным ресурсам, которые обычно защищены от пользователя. В итоге, приложение, обладающее большими полномочиями, чем предполагалось системным администратором, может совершать неавторизированные действия. Повышением привилегий называют ситуацию, когда пользователь компьютерной системы каким-либо образом повышает свои полномочия в этой системе (другими словами: получил возможность делать то, чего прежде делать не мог).

Описание уязвимости

Злоумышленники могут изменить LD_PRELOAD, чтобы указать на вредоносные библиотеки, соответствующие именам легальных библиотек, которые запрашиваются программой-жертвой, в результате чего операционная система загружает вредоносный код при выполнении программы-жертвы.

LD_PRELOAD можно установить с помощью переменной окружения или файла:
/etc/ld.so.preload

Захват LD_PRELOAD может предоставить доступ к памяти процесса-жертвы, системным/сетевым ресурсам и, возможно, повышенным привилегиям. Выполнение через LD_PRELOAD ВПО также может избежать обнаружения со стороны средств защиты, поскольку выполнение маскируется под легальный процесс.

Описание типа актива

Семейство Unix-подобных операционных систем на базе ядра Linux, включающих тот или иной набор утилит и программ проекта GNU, и, возможно, другие компоненты.

Объекты атаки Операционная система

Классификация

КЦД: Целостность

STRIDE: Повышение привилегий

Источники угрозы

Внешний нарушитель - Средний потенциал

Внутренний нарушитель - Средний потенциал

Каталоги угроз

Техники ATT@CK:

T1574.006 Hijack Execution Flow: Dynamic Linker Hijacking

Adversaries may execute their own malicious payloads by hijacking environment variables the dynamic linker uses to load shared l...

Связанные защитные меры

	Название	Дата	Влияние
Community 18 10 / 86	Настройка безопасной конфигурации для серверов ОС Linux Разово Вручную Техническая Превентивная 16.05.2022	16.05.2022	18 10 / 86
Цель: сокращение поверхности атаки. Часть общего процесса управления безопасностью конфигураций (Hardening). Общий алгоритм: Определить, задокументировать требования к безопасности конфигурации. Применить безопасную конфигурацию на существующих хостах. Применять безопасную конфигурацию на новых хостах в рамках процесса их ввода в эксплуатацию. Регулярно проверять конфигурацию хостов на соответствие установленным требованиям. Источником для формирования требований к безопасности конфигурации служат: Руководства по настройке безопасности от производителя (например, Red Hat Enterprise Linux Security guide); Руководства по настройке безопасности (например, CIS CentOS Linux Benchmarks, CIS Debian Linux Benchmarks, CIS Red Hat Enterprise Linux Benchmarks, CIS Ubuntu Linux Benchmarks, SCAP Security Guide Project, FIPS for Ubuntu); Рекомендации регулирующих органов и отрасли; Собственные наработки и решения. Документирование требований осуществляется в зависимости от принятых подходов в организации. Вариант реализации: описать требования в карточке защитной меры. Пример документа Отклонения от выбранной конфигурации документируются вместе с обоснованием и применяемыми компенсирующими мерами. Вариант реализации: вести учет отклонений в заметках к карточкам активов (хостов) либо защитной мере. Минимальные требования к безопасной конфигурации: Изменить пароли по умолчанию. Настроить SSH Настроить сложность паролей Настроить смену (жизненный цикл) паролей Настроить политику аутентификации Отключить или удалить ненужные учетные записи пользователей Отключить или ограничить ненужные службы, порты и протоколы Удалить ненужное программное обеспечение При необходимости ограничить физические порты Настроить баннеры при входе В зависимости от выстроенной в компании инфраструктуры к требованиям безопасности конфигурации могут быть отнесены: Подключение хоста к корпоративной системе мониторинга Настройка передачи логов на централизованный сервер (nxlog, SEM / SIEM) Конфигурация NTP и часового пояса Настройка может осуществляться вручную, скриптами или с использованием централизованных систем управления конфигурацией (например, Ansible). Контроль конфигурации может осуществляться скриптами, системами контроля конфигураций, сканерами уязвимостей с соответствующим модулем контроля конфигураций. Показателем эффективности процесса может являться: - общий процент соответствия требованиям (суммарно по всем хостам), - процент хостов, соответствующих требованиям. *Рекомендации к заполнению карточки:* Каждый из этапов процесса (определение требований, первичная настройка, ввод в эксплуатацию новых хостов, контроль соответствия) может быть описан отдельной защитной мерой. Описать принятый в компании перечень требований к безопасности конфигурации. Если для приведения в соответствие и/или контроля конфигураций используется ПО - зарегистрировать его в реестре активов и привязать к мере как инструмент Если ведется учет (реестр) скриптов - привязать использующиеся скрипты как инструмент Добавить шаблон регулярной задачи по проверке конфигураций. Добавить шаблон регулярной задачи на пересмотр/актуализацию набора требований безопасности