Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

🔴 Zhackowali sieć jednej z najbezpieczniejszych firm na świecie – MITRE. Ominęli dwuczynnikowe uwierzytelnienie. Do sieci badawczej NERVE dostali się przez podatny system VPN.

20 kwietnia 2024, 10:50 | Aktualności | komentarzy 11
Tagi: , , , ,

Jeśli ktoś pasjonuje się cyberbezpieczeństwem, najpewniej słyszał o MITRE. CVE, czy program ATT&CK – za nimi właśnie stoi wspomniana korporacja.

Co się wydarzyło? MITRE relacjonuje akcję niemal na jednym wydechu:

❌ Atakujący użyli dwóch podatności 0day w systemie VPN Ivanti (patrz też: zhackowana amerykańska agencja odpowiedzialna za cyberbezpieczeństwo (CISA). Zaatakowali system VPN)
❌ Ominęli 2FA poprzez przejęcie identyfikatorów sesji (czyli przejęli dostęp do już zalogowanych przez VPNa kont). W tym przypadku nie ma znaczenia jakiego typu dwuczynnikowego uwierzytelnienia użyjemy (nie pomogą nawet klucze sprzętowe)
❌ Zinfiltrowali podsieć ze zwirtualizowanymi serwerami, korzystając z przejętego dostępu administratora
❌ Użyli backdoorów / webshelli w celu zapewnienia trwałego dostępu do organizacji oraz dalszego wykradania danych logowania użytkowników (wewnętrz sieci)

Jako atakujących wskazano, zagraniczną grupę hackerską klasy APT (foreign nation-state threat actor).

Ciekawostka, jak wygląda jedna z podatności znalezionych we wspomnianym VPN? Nadzwyczaj prosto – przynajmniej jeśli chodzi o atak. Wykonanie kodu w OS na urządzeniu VPN – jako root, bez wymogu jakiegokolwiek uwierzytelnienia wygląda tak:

/api/v1/totp/user-backup-code/../../license/keys-status/;CMD;

Co zostało zrealizowane w ramach odparcia ataku?

✅ Odcięcie zainfekowanych systemów i sieci od reszty infrastruktury (co ciekawe, nie było to takie proste – zainfekowana sieć miała łączność z masą innych sieci wewnątrz organizacji – pomogła tutaj o wiele wcześniej przygotowana inwentaryzacja zasobów IT)

✅ Powołany został na gorąco odpowiedni team zarządzający incydentem – również w kontekście koordynacji informacji przekazywanych do odpowiednich zespołów (w tym jednostek biznesowych)

✅ Odpalenie technicznej analizy – co zostało zhackowane oraz jak daleko atakujący weszli w infrastrukturę firmy. MITRE wskazuje, że najbardziej pomocny był tutaj centralny system agregacji logów (np. z firewalli, IDSów, antywirusów, systemów operacyjnych)

✅ Zainfekowane systemy zostały poddane analizie, a w ich miejsce zaczęto przygotowywać zastępniki (czas, który był potrzebny na akcję: ~2 tygodnie)

✅ Komunikacja z zewnętrznymi organizacjami (klienci, akcjonariusze, opinia publiczna, społeczność ITsec). Tutaj jedną z najtrudniejszych rzeczy był balans w temacie: ile można / należy ujawnić – a czego lepiej nie

✅ Wdrożenie nowych czujek/sposobów monitorowania infrastruktury IT – tak żeby wyłapać ew. ślady atakujących w sieci; ale też  żeby jeszcze lepiej monitorować całość na przyszłość

🚑 Rekomendacje MITRE dla innych firm, które mogą paść ofiarą podobnych cyberataków:

✅ Monitorowanie anomalii jeśli chodzi o połączenia VPN (nietypowe godziny, nietypowe kraje, z których nawiązywane są połączenia VPN, nietypowo duży ruch VPN)

✅ Analiza nietypowych godzin logowania do systemów

✅ Wreszcie zabranie się za sensowną segmentację sieci (czyli poddział na podsieci, ale też filtrowanie ruchu pomiędzy nimi)

✅ Korzystanie z baz reputacyjnych jeśli chodzi o adresy IP (w takich bazach pojawiają się informacje klasy: z których adresów są realizowane fraudy/ataki). Odpowiednie blokowanie takich adresów. Na końcu tego wpisu – udostępniamy Wam szkolenie w tym temacie, które realizowaliśmy niedawno w ramach https://sekurak.academy/

✅ Rozważenie korzystania z honeypotów (mamy wczesne ostrzeżenia o ataku; ale również możemy poznać techniki jakich używa atakujący po przełamaniu zabezpieczeń – w tym przypadku podpuchy-honeypota).

Na koniec MITRE wskazuje główne trzy obszary, które zamierza jeszcze bardziej wzmocnić:

✅ Skanowanie podatności / pentesty swojej infrastruktury
✅ Szkolenia dla pracowników (zarówno dla adminów / osób odpowiedzialnych za bezpieczeństwo IT w organizacji, ale też szkolenia cyberawareness – dla wszystkich pracowników)
✅ Dodatkowe zabezpieczenia infrastruktury IT (np. wspomniane wcześniej czujki, analiza anomalii, czy przemyślenie kwestii segmentacji sieci)

Adresy wątpliwej reputacji – obiecany wyżej link do sekurakowego szkolenia.

~ms


Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Marek

    Jak Twój przeciwnik jest na tyle potężny że ma do dyspozycji dwa zero-daye, to raczej najlepsze zabezpieczenia nie pomogą. Jedyne co można zrobić to fizycznie odseparować wewnętrzne, krytyczne sieci od internetu.

    Odpowiedz
  2. SeeM

    Wygląda na to, że jakoś sobie poradzili. Teraz pozostaje tylko określić ile danych zdążyli pobrać atakujący.

    Agregatory logów to jest dobra rzecz. I osobne podsieci na wszystko też. Odgrodzenie się od internetu to jedno, ale odgrodzenie się od samych siebie, to już tridniejsze zadanie.

    Odpowiedz
  3. Olo

    Czyli zemściło się korzystanie z gównianego vpna i lenistwo administratorów aby filtrować i obserwować ruch przychodzący. Cichutko też o tym jak dokładnie przejęli dostęp admina do maszyn wirtualnych. Czyżby admin123 ?
    Później to już śmiech na sali, szkolenia dla użytkowników i porady z dupy wzięte :-)
    IT spierdoliła po całości i powinny głowy polecieć. Aha też mam takich kretynów w firmie dla nich fakt że ktoś w innej strefie czasowej loguje się w środku nocy nie jest podejrzany.

    Odpowiedz
  4. WTF

    „dwuczynnikowe uwierzytelnienie”?
    Piękny google translate. Ciekawe czy wpis AI robiła czy jakiś leń

    Odpowiedz
    • ?

      Odpowiedz
    • Miu

      „Dwuetapowe”, „dwuczynnikowe”, też „wieloskładnikowe”… Na jedno wychodzi, każdy wie o co chodzi. A i „uwierzytelnienie” jest poprawne. Więc całość wyrażenia jest poprawna. Także to czepianie się o nic.

      Odpowiedz
  5. Ruski Chaker

    Najlepiej po prostu nie uzywac gowien typu Fortinet czy Ivanti aka Pulse, a wrocic do starego dobrego IPSeca albo OVPN-a. Tak wiem, tam sie nie da klikac i admini po szkolach malowania paznokci moga sobie nie dac z tym rady.

    Odpowiedz
    • wk

      @Ruski Chakier

      Heh, najbardziej nie dają rady ci admini, którzy myślą że dają radę i że ich zdobyta dawniej wiedza jest wystarczająca także dziś. Niezależnie od tego czy klikają czy piszą polecenia ;)

      Odpowiedz
  6. a jakbyście

    To by się naprawdę lepiej czytało bez tych durnych emotek na początku każdego zdania.

    Odpowiedz
    • max

      Jakie emocje przekazują te znaki twoim zdaniem?

      Odpowiedz
  7. Adam

    Mit o 100 % zabezpieczeniu dzięki 2FA padł, a był taki ładny amerykański.

    Odpowiedz

Odpowiedz