O Dirty Pipe e a importância da Application Infrastructure Protection

O início deste ano viu uma série de vulnerabilidades em nível de infraestrutura impactando organizações nativas da nuvem, como Log4j e Pwnkit. Dando continuidade a essa tendência está o Dirty Pipe, uma vulnerabilidade que ocorre no kernel do Linux. O Dirty Pipe permite a substituição de dados em arquivos arbitrários somente leitura, o que pode levar à escalada de privilégios ao injetar código em processos raiz.

Considerando que agentes mal-intencionados podem usar o Dirty Pipe para causar danos no nível de infraestrutura, isso pode representar um problema para muitas empresas. Mas com uma visão abrangente do ambiente completo, vulnerabilidades como essas podem ser gerenciadas adequadamente à medida que surgem.

O problema de se defender contra canos sujos

Muitas organizações que estão empreendendo esforços de transformação digital estão focadas em “modernizar” seus principais aplicativos de negócios, de acordo com o Relatório de Estratégia de Estado de Aplicativos da F5. Estamos vendo nossos clientes investindo cada vez mais em infraestrutura baseada em microsserviços para executar esses aplicativos, porque eles oferecem grandes benefícios, como maior agilidade e ritmo de inovação.

Em consonância com esse esforço para modernizar aplicativos, também estamos vendo uma necessidade maior de proteção de aplicativos. No mês passado, a F5 resolveu esse problema com o lançamento do F5 Distributed Cloud WAAP , oferecendo aos clientes uma série de ferramentas para proteção na camada de aplicativo, como Bot Defense ou Advanced WAF. Esta solução oferece aos nossos clientes a capacidade de bloquear ataques que impactam a organização acessando os principais aplicativos de negócios.

O problema com vulnerabilidades como Dirty Pipe (e outras explorações recentes como Pwnkit ou Log4j) é que simplesmente bloquear o acesso de agentes mal-intencionados à camada de aplicação usando ferramentas como o Distributed Cloud WAAP não é suficiente quando o ataque direcionado expõe fraquezas no nível da infraestrutura. Os aplicativos são tão seguros quanto a infraestrutura nativa da nuvem na qual são executados, portanto, para se defender contra uma exploração como a Dirty Pipe, os clientes precisam ter proteção para a própria infraestrutura. Com a aquisição do Threat Stack , a F5 está idealmente posicionada para oferecer esse recurso também.

O Threat Stack monitora todas as camadas da pilha de infraestrutura nativa da nuvem — do console de gerenciamento de nuvem, hosts, contêiner e orquestração — em busca de comportamentos que indiquem que invasores obtiveram acesso à infraestrutura. O Threat Stack então fornece a observabilidade necessária para que os clientes tomem medidas proativas e rápidas para remediar ameaças a essa camada. Combinado com o F5, os clientes podem proteger seus aplicativos modernizados com uma visão abrangente das ameaças aos níveis de aplicativo e infraestrutura.

Como o Threat Stack ajuda com tubos sujos

Especificamente para a Dirty Pipe, os clientes do Threat Stack se beneficiaram imediatamente do Oversight , o monitoramento e a experiência do Centro de Operações de Segurança (SOC) 24 horas por dia, 7 dias por semana, 365 dias por ano do Threat Stack. Assim como aconteceu com Log4j e Pwnkit, a equipe começou a analisar toda a base de clientes em busca de indícios de Dirty Pipe para determinar como poderíamos oferecer melhor suporte aos nossos clientes.

Após executar a busca por ameaças e pesquisar fontes terceirizadas especializadas, determinamos que, assim como no Log4j, o Threat Stack detecta atividades pós-exploração específicas para essa vulnerabilidade. As regras prontas para uso do Threat Stack são definidas para observar e alertar sobre quaisquer indicadores de comprometimento que mostrem atividade do Dirty Pipe no ambiente de um cliente.

Continuamos monitorando como o Dirty Pipe pode impactar nossos clientes, assim como fazemos com Log4j, Pwnkit e outros. Mas a questão mais importante aqui é que os ataques podem acontecer exclusivamente no nível da infraestrutura e, para manter os aplicativos modernizados seguros, você precisa ter uma visão desses ataques. Na Threat Stack e na F5, estamos comprometidos em fazer exatamente isso.