[CERT-UA] О неотложных мерах киберзащиты

security Security

Начиная с 23.02.2022, Правительственной командой реагирования на компьютерные чрезвычайные события Украины CERT-UA проведены десятки исследований целевых атак, направленных на вывод из строя информационно-коммуникационных систем и нарушение конфиденциальности обрабатываемой в них информации.

В подавляющем большинстве инцидентов начальной точкой компрометации является публичная информационная система с необновленным и/или настроенным по умолчанию программным обеспечением (почтовый сервер, VPN-сервер, веб-сервер, система управления контентом (CMS) веб-сайта, СУБД и т.д.).

Получив доступ к такой автоматизированной системе, злоумышленники развивают атаку "вглубь" компьютерной сети, похищают пароли привилегированных учетных записей и нарушают штатный режим функционирования элементов информационно-коммуникационной системы. Для этого, среди прочего, могут применяться вредоносные программы-деструкторы, централизованно распространенные с использованием скомпрометированного контроллера домена. При этом конечным замыслом злоумышленников может быть обнародование похищенной информации в сети "Интернет".

Использование уязвимого программного обеспечения на оборудовании, которое доступно из сети "Интернет", увеличивает поверхность атаки и создает предпосылки к несанкционированному доступу. Отсутствие фильтрации информационных потоков ("внутренних" - между сегментами компьютерной сети и исходящих - в направлении LAN/DMZ → интернет), а также отсутствие процессов мониторинга событий безопасности негативно влияют на возможность заблаговременно предупредить кибератаку.

Рекомендации

  • Определить доступные из сети "Интернет" информационные системы и составить перечень их идентификаторов: IP-адреса и доменные имена.
  • Самостоятельно воспользоваться сервисом shodan.io и проверить IP-адреса на предмет ассоциированных уязвимостей. В случае наличия угрозы - временно вывести информационную систему из эксплуатации, исследовать на предмет компрометации и принять меры по обновлению программного обеспечения. Заметим, что каждый открытый сетевой порт и соответствующий сервис - это потенциальная точка входа.
  • С целью недопущения горизонтального перемещения злоумышленников по сети - серверное оборудование, на котором функционируют публично доступные сервисы, необходимо изолировать от локальной вычислительной сети и "внутренних" информационных систем. Другими словами, скомпрометированный публично доступный сервер/сервис не должен становиться плацдармом для атаки на внутреннюю сеть.
  • Доступ к любым интерфейсам администрирования (Mikrotik, Proxmox, ISPManager, DirectAdmin, Webmin, PhpMyAdmin, панели управления веб-сайтами и т.д.), SSH, RDP и других подобных сервисов, а также систем электронного документооборота (например, АСКОД) должен быть разрешен только с конкретных IP-адресов и/или с использованием VPN.
  • Внедрения многофакторной аутентификации (электронная почта, VPN, система электронного документооборота СЭД и другие сервисы).

Перечень наиболее распространенных уязвимостей:

  • Microsoft Exchange Server: CVE-2021-34523, CVE-2021-34473, CVE-2021-31207 (ProxyShell)
  • Microsoft Exchange Server: CVE-2021-26855, CVE-2021-26858, CVE-2021-26857, CVE-2021-27065 (ProxyLogon)
  • Fortinet: CVE-2018-13379
  • Apache Log4j: CVE-2021-44228 (Log4Shell)
SEC-1275-1
Добавить комментарий