IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Komentář GovCERT.CZ k napadení webů ukrajinské vlády a doporučení k zabezpečení

October CMS

V noci ze čtvrtka 13. ledna na pátek 14. ledna 2022 proběhl útok na řadu vládních webů ukrajinské vlády, včetně ministerstva zahraničí, při kterém došlo k nahrazení originálního obsahu webových stránek obsahem vytvořeným útočníkem, tzv. defacementem. Tato technika je obvykle používána politicky motivovanými skupinami jako forma kybernetického graffiti. V zásadě ale nelze vyloučit, že defacement může být pouze forma klamné operace a cíl útočníků může být jiný – například získání přístupu do interních systémů organizace. Proto by i těmto typům útoků měla být věnována obdobná pozornost, jako v případě jiných incidentů.

Dle ukrajinského CERT týmu útočníci pravděpodobně zneužili zranitelnost CVE-2021-32648 redakčního systému s názvem October CMS. Tato zranitelnost spočívá v tom, že kdokoliv s přístupem k administračnímu rozhraní systému, které je ve výchozím nastavení přístupné z internetu, mohl změnit administrátorské heslo a následně se přihlásit do systému.

Zranitelnost byla v systému opravena již v březnu minulého roku ve verzích 1.0.472 a 1.1.5, v době útoku se tedy nejednalo o zranitelnost nultého dne.

Redakční systém October CMS není v České republice rozšířen, dle našich informací je u nás provozováno jen několik desítek instancí tohoto systému. Přesto se podobné typy zranitelností mohou objevit i v jiných redakčních systémech, níže proto uvádíme seznam doporučení, díky kterým je možné podobným útokům předcházet nebo alespoň minimalizovat jejich dopad.

Doporučení:

  • Udržujte využívaný redakční systém aktualizovaný a sledujte oznámení vývojářů o zranitelnostech.
  • Administrační rozhraní redakčního systému by nemělo být přístupné z Internetu, ale pouze z definovaných rozsahů IP adres nebo přes dodatečnou autentizaci (např. VPN).
  • Pro přístup do administrace využívejte vícefaktorovou autentizaci.
  • Využívejte službu pro automatický monitoring důležitých webových stránek, která vás upozorní na nedostupnost nebo jejich změnu.
  • Pravidelně zálohujte a mějte připravené postupy pro obnovu webových stránek ze zálohy.
  • Mějte připravené rychlé řešení, pokud dojde k defacementu (např. změnou DNS přesměrujte uživatele na jiný server, který bude informovat o aktuální situaci).
  • Server s webovými stránkami umístěte v jiné síti, než interní servery organizace, aby se případný útočník nemohl laterálně pohybovat v síti na další servery.
    TTPs

T1190 – Exploit Public-Facing Application
T1491.002 – Defacement: External Defacement

Zdroj: NÚKIB

Weby vydavatelství AVERIA LTD.: • ict-nn.com • b2b-nn.comiot-nn.comitsec-nn.comnetguru-nn.comgamers-generation.comew-nn.comrc-nn.comdc-nn.comcb-nn.comsm-nn.comcw-nn.comegov-nn.comkankry.czjobs-nn.comzdravi-lide.cz
AVERIA LTD., Company number 06972108, Enterprise House, 2 Pass Street, OL9 6HZ Manchester – Oldham, United Kingdom
IT SECURITY NETWORK NEWS by AVERIA LTD. © 2022 – Osobní údajeCookies