O vulnerabilitate critică de tip authentication bypass a fost descoperită în API-ul Nokia CloudBand Infrastructure Software (CBIS) și Nokia Container Service (NCS) Manager. Clasificată cu un scor CVSS de 9.6, această vulnerabilitate (CVE-2023-49564) permite atacatorilor neautorizați să ocolească mecanismele de autentificare prin simpla manipulare a unor HTTP headers.
Această vulnerabilitate afectează versiunile CBIS 22 și NCS 22.12 și poate oferi acces complet la endpoint-urile API restricționate, fără a necesita credențiale valide. Cauza principală a fost identificată într-un mecanism de verificare slab în cadrul containerului Nginx Podman, permițând atacatorilor să păcălească sistemul de autentificare.
Exploatarea acestei vulnerabilități necesită un acces la rețeaua adiacentă, ceea ce o face deosebit de periculoasă în mediile de lucru unde un atacator a obținut deja un punct de intrare inițial. Odată exploatată, vulnerabilitatea duce la compromiterea completă a sistemului, permițând accesul la date sensibile, modificarea setărilor și chiar întreruperea operațiunilor de rețea. Nokia a lansat deja patch-uri pentru a remedia această problemă.
Sfaturi de Protectie
1. Aplică Imediat Patch-urile de Securitate Recomandate
Acesta este cel mai important pas. Orice altă măsură de protecție este secundară dacă vulnerabilitatea critică rămâne necorectată.
Pasul 1: Identifică Versiunea Curentă a Platformei - Conectează-te la consola de management a Nokia CBIS sau NCS Manager. Pentru a verifica versiunea de software, rulează o comandă standard de informare, cum ar fi "show version", "info system" sau similar.
Verifică cu atenție documentația Nokia pentru a determina dacă rulezi o versiune vulnerabilă (CBIS 22 sau NCS 22.12).
Pasul 2: Descarcă Patch-urile Oficiale - Accesează portalul de suport Nokia, autentifică-te și descarcă patch-urile corespunzătoare pentru versiunea ta. Pentru versiunile vulnerabile, acestea sunt CBIS 22 FP1 MP1.2 si NCS 22.12 MP3
Pasul 3: Aplică Corecțiile și Verifică Instalarea - Urmează cu precizie ghidul de instalare furnizat de Nokia pentru a aplica patch-urile corect. După finalizare, verifică jurnalul de instalare pentru a te asigura că procesul a decurs fără erori și că vulnerabilitatea a fost remediată.
2. Implementează Politici Stricte de Acces la Rețea
Izolarea rețelei reduce probabilitatea ca un atacator să ajungă la sistemul vulnerabil.
Pasul 1: Pe un switch sau router de rețea, configurează un VLAN dedicat (de exemplu, VLAN 100) pentru serverul care găzduiește managerul API. Asigură-te că traficul dintre acest VLAN și celelalte segmente de rețea este blocat implicit.
Pasul 2: Accesează interfața de administrare a firewall-ului tău și creează o regulă explicită de ALLOW (permitere) pentru portul utilizat de API (de exemplu, 443 sau 8443) care să aibă ca sursă doar adresele IP ale administratorilor de sistem. Creează o regulă de DENY (refuz) pe aceleași porturi pentru orice altă sursă.
3. Monitorizează Traficul de Rețea pentru Activități Suspecte
Această măsură te ajută să detectezi o tentativă de exploatare chiar și înainte de a o remedia.
Pasul 1: Instalează Snort sau Suricata pe un server dedicat sau pe o mașină virtuală care are acces la traficul de pe rețeaua unde se află managerul Nokia.
Pasul 2: Descarcă și adaugă o regulă în fișierul de reguli al IDS-ului care caută în antetele HTTP un User-Agent sau un alt header manipulat de un atacator, asociat cu tentativele de ocolire a autentificării.
4. Efectuează Audituri de Securitate Externe și Interne
Auditurile periodice te ajută să identifici proactiv vulnerabilitățile înainte ca un atacator să o facă.
Pasul 1: Configurează Nessus sau OpenVAS pentru a scana subrețeaua care conține managerul Nokia. Caută în raportul de scanare prezența CVE-2023-49564.
Pasul 2: Contactează o echipă de experți pentru a simula un atac real (Penetration Testing), testând nu doar vulnerabilitatea, ci și eficiența măsurilor tale de apărare.
5. Limitează Accesul Fizic și Logic la Echipamentele Critice
Chiar și cele mai bune soluții tehnice pot fi ocolite dacă un atacator are acces la echipament.
Pasul 1: Asigură-te că serverele care găzduiesc managerul API sunt într-un mediu securizat, cu acces controlat (card de acces, biometrie) și monitorizare video.
Pasul 2: Mergi în setările de securitate ale consolei de management Nokia și activează MFA pentru toate conturile de administrator. Utilizează aplicații de autentificare (ex. Google Authenticator) în locul SMS-ului.
6. Implementează Politici de Parolă Stricte
Pasul 1: Implementează o politică de parolă care impune o lungime minimă de 12 caractere, utilizarea de caractere speciale, cifre și litere mari/mici.
Pasul 2: Forțează schimbarea periodică a parolelor pentru conturile de administrator și restricționează reutilizarea parolelor vechi.
7. Actualizează Regulat Software-ul de pe Sistemele Adiacente
Pasul 1: Asigură-te că sistemele de operare (ex. Linux) și aplicațiile de pe serverele din rețeaua adiacentă sunt actualizate constant cu cele mai noi patch-uri de securitate.
Pasul 2: Activează actualizările automate pentru sistemele critice pentru a te asigura că nu ratezi patch-uri importante.
8. Creează și Monitorizează Jurnalele de Audit
Pasul 1: Activează jurnalele de audit la nivel de sistem pe serverul manager, în special pentru autentificări reușite și eșuate.
Pasul 2: Integrează jurnalele serverului Nokia și ale firewall-ului cu o soluție SIEM (Security Information and Event Management) pentru o monitorizare centralizată și pentru a detecta anomalii.
9. Realizează Analize de Trafic Criptat (SSL/TLS Inspection)
Pasul 1: Configurează un firewall sau un proxy pentru a inspecta traficul SSL/TLS care intră sau iese din rețeaua unde se află managerul Nokia.
Pasul 2: Aceasta îți permite să detectezi tentativele de exploatare care folosesc conexiuni criptate pentru a se ascunde.
10. Efectuează Exerciții de Răspuns la Incidente
Pasul 1: Elaborează un plan detaliat de răspuns la incidente pentru situația în care sistemul Nokia ar fi compromis. Planul ar trebui să includă pași pentru izolare, investigare și recuperare.
Pasul 2: Desfășoară exerciții practice (red teaming) pentru a testa eficiența planului și pentru a antrena echipa să reacționeze rapid și eficient.
Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro