08 Декабря 2023 09:11 08 Дек 2023 09:11 |

Поделиться

Хакеры взломали две госструктуы в США через критическую «дыру», о которой было известно почти год

Все знали, но проблема не была решена

Уязвимость в Adobe ColdFusion стала причиной двух взломов государственных агентств в США.

Получивший индекс CVE-2023-26360 критический «баг» открывает возможность для запуска произвольного кода на сервере, где установлены ColdFusion не новее версий 2018 Update 15 и 2021 Update 5.

Уязвимость была устранена в марте 2023 г., вскоре после того, как стало известно об атаках с ее использованием. Безопасными считаются версии CF 2018 Update 16 и новее и CF 2021 Update 6 и новее.

Тогда же, в марте Агентство по защите кибербезопасности и безопасности критической инфраструктуры США (CISA) выпустила бюллетень, описывающий проблему. В соответствии со своими полномочиями CISA предписало также госагентствам США установить обновления к ColdFusion до 5 апреля.

Однако на днях CISA снова опубликовало материал, посвященный старой уязвимости. В нем указывается, что CVE-2023-26360 до сих пор успешно эксплуатируется злоумышленниками, и что в июне произошли сразу два инцидента, в результате которых пострадали государственные учреждения США.

В обоих случаях, говорится в публикации, антивирусное решение Microsoft Defender for Endpoint (MDE) сигнализировало о вероятной эксплуатации уязвимости на публичных серверах «в предпроизводственных средах» пострадавших агентств.

На атакованных серверах использовалось различное устаревшее ПО, содержавшее множество других уязвимостей.

Разведывательные атаки

Первый (по времени) инцидент был зарегистрирован 2 июня: злоумышленники взломали сервер с Adobe ColdFusion 2021.0.0.2, после чего собрали данные о пользовательских аккаунтах и установили троян для удаленного управления. После этого они попытались вывести данные системного реестра и менеджера безопасности аккаунтов, а также пытались использовать доступные инструменты для защиты информации для получения доступа к SYSVOL, специальному каталогу, присутствующему в каждом контроллере домена.

26 июня злоумышленники воспользовались CVE-2023-26360 для взлома сервера с версией Adobe ColdFusion 2016.0.0.3. На уязвимый сервер был установлен веб-шелл, благодаря которому в файл настроек ColdFusion был встроен вредоносный код. В распоряжении злоумышленников также оказались административные логин и пароль.

В дальнейшем хакеры успешно удалили файлы, использовавшиеся в атаках, что позволило им скрыть свое присутствие. Они также создали новые файлы в каталоге C:\IBM, чем обеспечили себе дополнительную маскировку: в частности, из этой папки запускался сканер сетей, с помощью которого хакеры изучали окружение.

В обоих случаях, тем не менее, атаки были обнаружены и заблокированы до того, как злоумышленники вывели какие-либо данные и проникли глубже в подсети агентств. В CISA также указали, что все скомпрометированные активы были удалены из ключевых сетей в течение 24 часов.

«CISA еще в марте предписала госучреждениям установить исправления к 5 апреля, однако описанные атаки случились в июне, то есть, указания CISA были проигнорированы» - указывает директор по информационной безопасности компании SEQ Анастасия Мельникова. По ее словам, вендор выпустил необходимые исправления и агентство, занимающееся информированием и координаций установки программных обновлений выпустило все надлежащие бюллетени. «Теперь вся ответственность лежит на тех учреждениях, которые не нашли времени исправить ситуацию. Видимо, кого-то уволят», - подытожила Анастасия Мельникова.

По данным CISA, эти атаки носили сугубо разведывательный характер. Действовала ли в обоих случаях одна и та же хакерская группировка, или это были разные акторы, остается неизвестным.

В новых рекомендациях CISA предлагается обновить ColdFusion до самых последних версий, а также отладить сегментирование сетей, установить файерволлы и настроить политики безопасности так, чтобы оставить возможность запуска только подписанного ПО.

Роман Георгиев

Поделиться

Короткая ссылка