Više od krađe identiteta: ciljanje na javne usluge

Iako je phishing najpopularnija tehnika koju zlonamerni akteri koriste za ulazak u organizaciju, najnovija saopšenja za štampu američke Agencije za sajber bezbednost i bezbednost infrastrukture (Cybersecurity & Infrastructure Security Agency) pokazuju da su druge najpopularnije tehnike dobivanja inicijalnog pristupa - iskorišćavanje javno izloženih aplikacija ili usluga udaljenog pristupa. To omogućava napadačima da uđu u mreže, ispitaju ih i ostanu neotkriveni mesecima, pre nego što pokrenu razorne akcije kao što je postavljanje ransomware-a.

Uzmimo slučaj letošnjeg napada na albansku vladu. Još u septembru, CISA je objavila kako se napad odvijao: napadači su dobili početni pristup putem lokalnog javnog Microsoft Sharepoint servera iskorišćavanjem dobro poznate (i stare) ranjivosti: CVE-2019-0604. To im je omogućilo perzistenciju na mreži 14 meseci pre nego što su izbrisali sve podatke, čineći mnoge javne usluge neupotrebljivima.

Prošle nedelje, CISA je objavila još jedan izveštaj sa detaljima o napadu na neimenovanu organizaciju u sektoru odbrane. Napadači su u ovoj mreži takođe već mnogo meseci, a inicijalni pristup je očigledno stečen na javnim Microsoft Exchange serverima putem iskorištavanja ranjivosti: CVE-2021-26855, CVE-2021-26857, CVE-2021 -26858 i CVE-2021-27065. Ove ranjivosti su među visokoprofilnim CVE-ovima koje aktivno koriste kineski akteri, koje sponzoriše njihova država.

Dakle, koje su naučene lekcije:

1. Zlonamerni akteri ciljaju na lokalno instalirane Microsoftove servere koji su izloženi na internetu: najčešće su to Exchange i Sharepoint serveri: oni se naširoko koriste u okruženjima korisnika i sadrže mnoge dobro poznate ranjivosti koje se mogu iskoristiti.

2. Održavanje servera na lokaciji često nedostaje: ono zahteva marljivo upravljanje IT imovinom i stalnu pažnju - a tu većina organizacija propada. Uporedite to sa SaaS ponudama kao što je Exchange Online: npr. nedavno objavljene Exchange ranjivosti CVE-2022-41040 i CVE-2022-41082 zahtevaju stalnu pažnju i mnogo intervencija za ublažavanje ove ranjivosti, a još nema objavljene zakrpe. Znakovito je da Microsoft kaže da klijenti Exchange Onlinea "ne moraju da preduzimaju ništa", pošto Microsoft čini mnogo više da ublaži ove CVE-ove globalno, na svojim serverima.