Начиная с 23.02.2022, Правительственной командой реагирования на компьютерные чрезвычайные события Украины CERT-UA проведены десятки исследований целевых атак, направленных на вывод из строя информационно-коммуникационных систем и нарушение конфиденциальности обрабатываемой в них информации.
В подавляющем большинстве инцидентов начальной точкой компрометации является публичная информационная система с необновленным и/или настроенным по умолчанию программным обеспечением (почтовый сервер, VPN-сервер, веб-сервер, система управления контентом (CMS) веб-сайта, СУБД и т.д.).
Получив доступ к такой автоматизированной системе, злоумышленники развивают атаку "вглубь" компьютерной сети, похищают пароли привилегированных учетных записей и нарушают штатный режим функционирования элементов информационно-коммуникационной системы. Для этого, среди прочего, могут применяться вредоносные программы-деструкторы, централизованно распространенные с использованием скомпрометированного контроллера домена. При этом конечным замыслом злоумышленников может быть обнародование похищенной информации в сети "Интернет".
Использование уязвимого программного обеспечения на оборудовании, которое доступно из сети "Интернет", увеличивает поверхность атаки и создает предпосылки к несанкционированному доступу. Отсутствие фильтрации информационных потоков ("внутренних" - между сегментами компьютерной сети и исходящих - в направлении LAN/DMZ → интернет), а также отсутствие процессов мониторинга событий безопасности негативно влияют на возможность заблаговременно предупредить кибератаку.
Рекомендации
- Определить доступные из сети "Интернет" информационные системы и составить перечень их идентификаторов: IP-адреса и доменные имена.
- Самостоятельно воспользоваться сервисом shodan.io и проверить IP-адреса на предмет ассоциированных уязвимостей. В случае наличия угрозы - временно вывести информационную систему из эксплуатации, исследовать на предмет компрометации и принять меры по обновлению программного обеспечения. Заметим, что каждый открытый сетевой порт и соответствующий сервис - это потенциальная точка входа.
- С целью недопущения горизонтального перемещения злоумышленников по сети - серверное оборудование, на котором функционируют публично доступные сервисы, необходимо изолировать от локальной вычислительной сети и "внутренних" информационных систем. Другими словами, скомпрометированный публично доступный сервер/сервис не должен становиться плацдармом для атаки на внутреннюю сеть.
- Доступ к любым интерфейсам администрирования (Mikrotik, Proxmox, ISPManager, DirectAdmin, Webmin, PhpMyAdmin, панели управления веб-сайтами и т.д.), SSH, RDP и других подобных сервисов, а также систем электронного документооборота (например, АСКОД) должен быть разрешен только с конкретных IP-адресов и/или с использованием VPN.
- Внедрения многофакторной аутентификации (электронная почта, VPN, система электронного документооборота СЭД и другие сервисы).
Перечень наиболее распространенных уязвимостей:
- Microsoft Exchange Server: CVE-2021-34523, CVE-2021-34473, CVE-2021-31207 (ProxyShell)
- Microsoft Exchange Server: CVE-2021-26855, CVE-2021-26858, CVE-2021-26857, CVE-2021-27065 (ProxyLogon)
- Fortinet: CVE-2018-13379
- Apache Log4j: CVE-2021-44228 (Log4Shell)