Министерство транспорта Российской Федерации
ФГУП «ЗащитаИнфоТранс»

Центр кибербезопасности ФГУП «ЗащитаИнфоТранс» сообщает

К одним из наиболее распространенных протоколов, которые могут быть использованы злоумышленниками в качестве векторов атаки, относятся BGP, NTP и FTP.

Данные протоколы могут нести реальные риски для корпоративной информации, учитывая уровень потенциальной угрозы, которую они могут представлять. 

BGP

Border Gateway Protocol используется для обмена сведениями о маршрутизации между автономными системами, т.е. теми группами IP-сетей, которые имеют свои собственные, независимые политики. Одной из атак проводимой злоумышленником с использованием данного протокола, является «обман» сети - перенаправлении IP-префиксов компаний или пользователей. Когда сеть отвечает для того, чтобы отправить информацию, данная информация уходит к злоумышленнику. 

NTP

Network Time Protocol (NTP) часто используется для синхронизации часов на компьютерах в сети. Старые версии протокола в некоторых сетях имеют сервис мониторинга, который позволяет администраторам составлять список из 600 хостов, подключенных к серверу, с помощью команды Monlist. Злоумышленники отправляют пакет с ложного IP-адреса, через который они получают список с помощью команды Monlist. Впоследствии они усиливают атаку, выполняя DDoS-атаку, которая может временно обрушить соединение всех адресов у хостов в списке.

FTP

Несмотря на то, что протокол - HTTP все чаще и чаще используется для отправки файлов, протокол FTP все еще присутствует во многих системах и используется во многих компаниях. В прошлом году в США злоумышленниками была произведена атака на FTP-серверы, принадлежащие больницам и стоматологическим клиникам, которая была направлена на получение доступа к медицинским записям пациентов за счет эксплуатации уязвимости, использующей анонимный режим FTP. Более старые FTP-серверы могут быть доступны с помощью общего имени пользователя (например, “anonymous” или “ftp”) без необходимости указывать пароль или имя пользователя.

 

Рекомендации для предотвращения атак с использованием данных протоколов

1. Внедрение компаниями MANRS: MANRS (взаимно согласованные нормы безопасности маршрутизации) представляет собой совместную инициативу сетевых операторов и точек обмена Интернет-трафиком (IXP) с целью введения более строгих норм безопасности маршрутизации во избежание BGP-атак. 

2. Обновление сетей и их протоколов: наиболее распространенные атаки через NTP-протоколы происходят из-за использования его устаревших версий. Это актуально и для FTP, т.к. он является достаточно примитивным протоколом, который изначально не был разработан с шифрованием для обмена файлами (для этого существуют зашифрованные режимы: FTPS). ИТ-службы в компаниях должны использовать самые актуальные и обновленные версии этих протоколов, чтобы избежать возможных кибер-атак.

3. Правильная конфигурация серверов: Неправильно настроенный FTP может позволить злоумышленникам получить доступ к серверу, если они подключаются в анонимном режиме. Настройка FTP-сервера, который требует безопасный пароль, уже представляет собой достаточно сложный барьер для хакера. Таким же образом NTP-протокол может оставить свой список хостов открытым, если в нем неправильно настроены политики доступа.

4. Решения информационной безопасности: для компаний любого размера иметь на всех своих конечных устройствах решение информационной безопасности с опциями расширенной защиты, способное предотвращать, обнаруживать и нейтрализовывать атаки в любое время.