Ministry Hacking
Последние 4 дня наша команда находится в гуще событий связанных с атакой на гос организации Украины, известная как «Ministry hack»
Со своей стороны специалисты компании CQR на протяжении 96 часов оказывали помощь гос. организациям в урегулировании проблем связанных с данной ситуацией и предоставили свою экспертизу большому количеству пострадавших гос. организаций, количество которых идет в десятках. Наши выходные прошли в режиме работы нон-стоп и мы вложили огромное количество сил, экспертизы и времени в помощь для решения данного инцидента.
Штаб в Киеве, Одессе и Днепре:
Развернув штабы в Киеве, Одессе и Днепре мы помогаем различным гос организациям и компания хотела бы сообщить, что после анализа большого количества пораженных систем есть уже конкретные результаты и список рекомендаций, как и мысли о том как сделать так, чтобы данная ситуация не повторялась.
Детали об инциденте:
Представители компании CQR заявляют что большой объем работы по консалтингу, экспертизе, анализу данных и многому другому было сделано и все данные ушли в соответствующие органы и там была представлена конкретика по тому как мы видим это произошло. В свою очередь можем сказать что ситуация не выглядит тривиально, но экспертиза атакующих также под сомнением.
«Атакующие оставили следы своей деятельности, хотя могли этого не делать»
Мы не до конца понимаем, это сделано было намеренно или же это слабая экспертиза атакующих в заметании следов.
Компания CQR заявляет, что не имеет отношения к любым политическим или не политическим заявлениям о причастности какой-либо из сторон/стран к атакам, так как не имеют такой доказательной базы и по их мнению долгосрочное расследование должно быть сделано.
Политические заявления или доказательная база должна быть детально исследована и с нашей стороны мы открыты к продолжению помощи нашему государству в решении данного кризиса и призываем всем кто еще к нам не обратился за помощью — мы вас ждем 24 часа 7 дней в неделю.
Наши Специалисты из США и других стран прибыли в ночь на 16 как и было обещано и уже помогают в решении некоторых вопросов ребятам на месте. В течении этой недели также будут проведены тренинги различным гос организациям и помощь по указанным ниже рекомендациям.
Мы не уполномочены выкладывать какие-либо данные об инциденте, но подготовили ряд рекомендаций и общее обсуждение по данной ситуации.
Про CVE и уязвимости в безопасности OctoberCMS
Известные CVE 2021 по OctoberCMS + список проблем которые еще не являются CVE но уже опубликованы на гитхаб в Security разделе.
CVE-2021-29487 CVE-2021-32648 CVE-2021-21264 CVE-2021-21265 CVE-2021-41126 |
www.cvedetails.com/..._id-15615/Octobercms.html
Захват админского аккаунта используя социальную инженерию
github.com/...ories/GHSA-mxr5-mc97-63rc
Выполнение произвольных команд в шаблонах ( под админом)
github.com/...ories/GHSA-5hfj-r725-wpc4
Выполнение произвольных команд в шаблонах ( под админом)
github.com/...ories/GHSA-wv23-pfj7-2mjj
Фикс:
Обновление до самой актуальной версии OctoberCMS
Бэкдоры
Исходя из наших данных злоумышленники оставили не самые тривиальные бэкдоры которые можно без проблем закрыть.
Бэкдор также являются SSH пользователи созданные в системах, украденные ssh ключи и так далее.
Рекомендация:
Прогнать систему на наличие PHP шелов
github.com/...HackingEnVivo/ShellFinder
github.com/emposha/Shell-Detector и их аналоги
Украденные данные
Мы не можем и не уполномочены точно утверждать о том были ли утечки с конкретных серверов или нет, так как это требует более глубокого анализа, но исходя из контента серверов которые мы осматривали мы бы хотели сообщить следующие рекомендации:
Общие Конкретные рекомендации
- Сменить ssh ключи на всех серверах которые
- Сменить github токены
- Сменить пароли в .env и перегенерировать все токены
- Установить IDS/IPS и следить за трафиком который выходит в вашей организации
- Посмотреть наличие новых пользователей в системе и устранить их
- Изучить открытые соединения которыеили попытки соединений на сторонние, неизвестные. Для этого можно использовать www.nirsoft.net/utils/cports.html или www.anvir.com
- Не у всех организаций есть SIEM и мы предлагаем проанализировать логи используя одно из наших бесплатных продуктов github.com/vulnz/facts система сразу покажет когда и откуда была атака. Возможность анализировать логи Apache, IIS, Nginx, Jboss и другие логи серверов. Там есть 2 базы, одна ligh вторая github.com/...b9ba6/assets/Database.sql более расширенная, но рекомендуется использовать первую для оперативного поиска.
- Перегенерировать SSL приватные сертификаты
- Обновить OS, библиотеки и CMS
- Проверить все файлы все пакеты зависимостей github.com/visma-prodsec/confused и альтернативами
- Сменить все пароли в Active directory, перегенерировать Kerberos пароль
October CMS рекомендации и проблемы которые есть сейчас:
По вопросу того, что уязвимость в October CMS давала только доступ к админ части ничего не говорит.
Мы бы хотели уточнить, что любой доступ уровня админа на практически любой CMS обычно дает возможность через сторонний плагин или через внутренний функционал, или через эксплоит по типу:
www.exploit-db.com/exploits/49045 в особенности,
если речь идет о PHP веб сайтах или же явный пример
github.com/...ories/GHSA-5hfj-r725-wpc4
в котором атакующий может в шаблон поставить исполняемый PHP code дающий практически полный доступ к системе.
Будучи авторизованным прочитать ключи ssh или же другие файлы конфигураций/хранения паролей на сервере и без проблем авторизироваться на сервере с другим уровнем доступа, не говоря уже о том, что админ сайта в состоянии изменить любой
www.exploit-db.com/exploits/49045 в особенности,если речь идет о PHP веб сайтах или же явный пример
Возможность запуска PHP используемого кода будучи авторизованным юзером ( админом)
github.com/...ories/GHSA-5hfj-r725-wpc4
Возможность овладеть аккаунтом админа
github.com/...ories/GHSA-mxr5-mc97-63rc
Будучи авторизованным прочитать ключи ssh или же другие файлы конфигураций/хранения паролей на сервере и без проблем авторизироваться на сервере с другим уровнем доступа, не говоря уже о том, что админ сайта в состоянии изменить любой.
Важно понимать что все системы между собой связаны в различные локальные сети, в которых также может не безопасно передаваться трафик, который в себе может хранить данные любого уровня важности, не говоря уже о контенте самого сервера.
Рекомендации по OctoberCMS:
- Обновляйте OS и OctoberCMS до последней версии
- Используйте WAF
- Используйте систему двухфакторной аутентификации
- Измените стандартный путь к админ панели
- Сменить пароли на пользователей в CMS
- Удалить неизвестных пользователей в CMS
- Следить за логов входов в CMS
Общая проблема
«Без IDS/IPS, SIEM, Exploit Мониторинга, Постоянных аудитов безопасности по типу «Пентест», Тренингов кадров, SOC/NOC, Анализа исходных кодов, работы с поиском утечек и других систем Security контроля, также высококвалифицированных специалистов ситуации будут повторяться постоянно.
«Мы рекомендуем принять конкретный закон, который бы регулировал ответственность за несоблюдение конкретных методологий по информационной безопасносности на гос уровне. Такая практика имеется во всех Европейский и не только Европейских странах.»
С уважением, Команда CQR
Контактная информация по вопросу помощи с данным инцидентом:
Ответственное лицо:
Виктор
+380503165101
31 коментар
Додати коментар Підписатись на коментаріВідписатись від коментарів