Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Kiedy zhackują ci system dzielenia się plikami… Ustrzelone: Qualys, amerykański bank, jeden z banków rezerwy federalnej, … Sprawcami „hackerzy z Europy Wschodniej”
Accellion FTA (File Transfer Appliance) – to już dość wiekowy system wymiany plików używany m.in. przez duże korporacje na całym świecie. Taka wrzutnia na duże pliki. Niedawno ktoś znalazł w tym systemie trochę 0-dayów i zaatakował firmy na całym świecie. Efekt – żądanie zapłaty okupu z nieopublikowanie poufnych dokumentów.
Na moment zatrzymajmy się przy 0-dayach. Jak to w świecie webowym, lata płyną, ale niewiele się zmienia. SQL injection (bez uwierzytelnienia), SSRF, czy wykonywanie poleceń w OS. Wszystko w produkcie udostępnianym do Internetu:
- CVE-2021-27101 – SQL injection via a crafted Host header
- CVE-2021-27103 – SSRF via a crafted POST request
- CVE-2021-27102 – OS command execution via a local web service call
- CVE-2021-27104 – OS command execution via a crafted POST request
Associated Press donosi o hackerach z „Europy Wschodniej”, którzy wykorzystują te podatności. Wśród zhackowanych znaleźli się m.in. Qualys, nowozelandzki bank narodowy czy amerykański bank. No więc kiedy robiliście ostatnio testy bezpieczeństwa Waszego systemu wymiany plików pomiędzy zewnętrznymi osobami/partnerami? :-)
–ms
„kiedy robiliście ostatnio testy bezpieczeństwa Waszego systemu”- a to cytat uodo? mam wrażenie, że te testy to jakiś złoty lek na wszystko, nawet na -1-daye i nieistniejące CVE, znaczy, że teraz każdy byle sklep internetowy ma sobie zatrudnić własnego „pentestera-hackera”?
To jeden z wielu elementów tzw. programu cybersec w firmach. Ale też jeden z chyba najczęściej zaniedbywanych. Procedury często (choć nie zawsze) są. Patchowanie często jest (choć też różnie z tym bywa). Testy bezpieczeństwa? Sporo firm dopiero w to wchodzi – co więcej wprost to odpowiada na pytanie – czy ktoś może coś niedobrego zrobić w naszym aktualnym stanie systemów IT.