Хакеры взломали две госструктуы в США через критическую «дыру», о которой было известно почти год
Критическая уязвимость в Adobe ColdFusion, программном обеспечении для создания и развертывания сетевых приложений, была выявлена и исправлена ещё в марте. Однако и в июне хакеры успешно ею воспользовались, взломав серверы двух государственных агентств.
Все знали, но проблема не была решена
Уязвимость в Adobe ColdFusion стала причиной двух взломов государственных агентств в США.
Получивший индекс CVE-2023-26360 критический «баг» открывает возможность для запуска произвольного кода на сервере, где установлены ColdFusion не новее версий 2018 Update 15 и 2021 Update 5.
Уязвимость была устранена в марте 2023 г., вскоре после того, как стало известно об атаках с ее использованием. Безопасными считаются версии CF 2018 Update 16 и новее и CF 2021 Update 6 и новее.
Тогда же, в марте Агентство по защите кибербезопасности и безопасности критической инфраструктуры США (CISA) выпустила бюллетень, описывающий проблему. В соответствии со своими полномочиями CISA предписало также госагентствам США установить обновления к ColdFusion до 5 апреля.
Однако на днях CISA снова опубликовало материал, посвященный старой уязвимости. В нем указывается, что CVE-2023-26360 до сих пор успешно эксплуатируется злоумышленниками, и что в июне произошли сразу два инцидента, в результате которых пострадали государственные учреждения США.
В обоих случаях, говорится в публикации, антивирусное решение Microsoft Defender for Endpoint (MDE) сигнализировало о вероятной эксплуатации уязвимости на публичных серверах «в предпроизводственных средах» пострадавших агентств.
На атакованных серверах использовалось различное устаревшее ПО, содержавшее множество других уязвимостей.
Разведывательные атаки
Первый (по времени) инцидент был зарегистрирован 2 июня: злоумышленники взломали сервер с Adobe ColdFusion 2021.0.0.2, после чего собрали данные о пользовательских аккаунтах и установили троян для удаленного управления. После этого они попытались вывести данные системного реестра и менеджера безопасности аккаунтов, а также пытались использовать доступные инструменты для защиты информации для получения доступа к SYSVOL, специальному каталогу, присутствующему в каждом контроллере домена.
26 июня злоумышленники воспользовались CVE-2023-26360 для взлома сервера с версией Adobe ColdFusion 2016.0.0.3. На уязвимый сервер был установлен веб-шелл, благодаря которому в файл настроек ColdFusion был встроен вредоносный код. В распоряжении злоумышленников также оказались административные логин и пароль.
В дальнейшем хакеры успешно удалили файлы, использовавшиеся в атаках, что позволило им скрыть свое присутствие. Они также создали новые файлы в каталоге C:\IBM, чем обеспечили себе дополнительную маскировку: в частности, из этой папки запускался сканер сетей, с помощью которого хакеры изучали окружение.
В обоих случаях, тем не менее, атаки были обнаружены и заблокированы до того, как злоумышленники вывели какие-либо данные и проникли глубже в подсети агентств. В CISA также указали, что все скомпрометированные активы были удалены из ключевых сетей в течение 24 часов.
«CISA еще в марте предписала госучреждениям установить исправления к 5 апреля, однако описанные атаки случились в июне, то есть, указания CISA были проигнорированы» - указывает директор по информационной безопасности компании SEQ Анастасия Мельникова. По ее словам, вендор выпустил необходимые исправления и агентство, занимающееся информированием и координаций установки программных обновлений выпустило все надлежащие бюллетени. «Теперь вся ответственность лежит на тех учреждениях, которые не нашли времени исправить ситуацию. Видимо, кого-то уволят», - подытожила Анастасия Мельникова.
По данным CISA, эти атаки носили сугубо разведывательный характер. Действовала ли в обоих случаях одна и та же хакерская группировка, или это были разные акторы, остается неизвестным.
В новых рекомендациях CISA предлагается обновить ColdFusion до самых последних версий, а также отладить сегментирование сетей, установить файерволлы и настроить политики безопасности так, чтобы оставить возможность запуска только подписанного ПО.