В KZ-CERT представили обзор инцидентов за июль 2023 года

Наиболее распространенными типами ботнетов в сетях государственных органов, местных исполнительных органов, организаций квазигосударственного и частного секторов РК стали Mozi.Botnet, Lethic.Botnet, и andromeda.Botnet. В сравнении с предыдущим месяцем зафиксировано увеличение количества инцидентов информационной безопасности типа вредоносное программное обеспечение на 10,88%. Наибольшее количество инцидентов ВПО зарегистрировано в местных исполнительных органах.           

В июле текущего года в процессе мониторинга казахстанского сегмента интернета на наличие угроз и инцидентов информационной безопасности обнаружена уязвимость, которая может представить угрозу для безопасности данных пользователей кроссплатформенного сервера для обмена мгновенными сообщениями Openfire. CVE-2023-32315: Openfire Administration Console authentication bypass подразумевает, что консоль администратора Openfire оказалась уязвимой для атаки с обходом каталога через среду установки. Уязвимость позволяет злоумышленнику, не прошедшему проверку подлинности, использовать среду установки Openfire для доступа к страницам в консоли администратора, доступ к которым должен быть ограничен. Эта уязвимость затрагивает все версии Openfire, выпущенные с апреля 2015 года, начиная с версии 3.10.0. Проблема была исправлена в выпусках Openfire 4.7.5 и 4.6.8, а дальнейшие улучшения будут включены в еще не выпущенную первую версию ветки 4.8. При возникновении инцидентов такого типа необходимо незамедлительно принять соответствующие меры для минимизации рисков.

Добавим, что в июле стало известно об уязвимости в продуктах MikroTik RouterOS. В ходе анализа специалистами KZ-CERT обнаружены IP-адреса клиентов ЕШДИ, использующих MikroTik RouterOS с паролями по умолчанию. Вместе с тем, в тот же период в ходе мониторинга казахстанского сегмента интернета обнаружены 27 IP-адресов, использующих продукты Citrix NetScaler ADC и NetScaler Gateway, потенциально подверженные уязвимости с высоким уровнем критичности идентификатора CVE-2023-3519. Отмечается, что все 27 IP-адресов не подключены к ЕШДИ.

По данным Shadowserver Foundation, в ходе массовых атак на CVE-2023-3519 с 20 июля текущего года около 640 серверов Citrix Netscaler ADC и Gateway по всему миру уже взломаны и заражены бэкдорами. Также известно, что годами ранее вымогательские группировки REvil и DoppelPaymer воспользовались аналогичными уязвимостями Citrix Netscaler ADC и Gateway для взлома корпоративных сетейю

18 июля 2023 года компания Citrix опубликовала бюллетень безопасности, в которой, помимо CVE-2023-3519, сообщили еще о двух уязвимостях, затрагивающих продукты NetScaler ADC и NetScaler Gateway: CVE-2023-3466, CVE-2023-3467. Во избежание возможных рисков и угроз информационной безопасности KZ-CERT выработаны рекомендации и проведены мероприятия по оповещению посредством электронной почты собственников/владельцев интернет-ресурсов и IP-адресов, по которым выявлены уязвимости.

В ведомстве напоминают, что своевременное обновление программного обеспечения является важным аспектом информационной безопасности. Обновления, выпущенные разработчиками программ, включают исправления ошибок, закрытие уязвимостей и добавление новых функций. Рекомендуется настроить автоматическое обновление программного обеспечения, чтобы быть уверенным в том, что система всегда обновлена и защищена от известных уязвимостей.