Обзор инцидентов ИБ за I квартал 2024 года

В АО «Государственная техническая служба» сообщили, что за первый квартал текущего года с использованием Единого шлюза доступа к Интернету (ЕШДИ) заблокировано свыше 16 млн кибератак. Наиболее распространенными типами ботнета стали Mozi.Botnet, Mariposa.Botnet и andromeda.Botnet. По всем инцидентам ИБ, связанным с ботнетами, Службой KZ-CERT выработаны рекомендации по устранению. Что касается количества кейсов, связанных с распространением вредоносного программного обеспечения, то в первом квартале этого года АО «ГТС» зарегистрировано и отработано в общей сложности 9586 кейсов (январь — 2795, февраль — 1317, март — 5474).

В ходе анализа сведений, полученных с оборудования АПК ЕШЭП, в первом квартале 2024 года зарегистрировано 411 кейсов (январь — 214, февраль — 104, март — 93), связанных с рассылкой спама с вредоносным вложением, писем со ссылкой на фишинговые/мошеннические ресурсы и писем с мошенническим содержанием рекламы легальных товаров/услуг. Спам-рассылки и вредоносные вложения писем, обнаруженные в результате анализа логов на АПК ЕШЭП, помещены на карантин и до целевых получателей не доставлены.

В первом квартале в ходе мониторинга казахстанского сегмента Интернета на наличие угроз и инцидентов информационной безопасности обнаружены следующие уязвимости:

Январь

1.CVE-2024-23897: Jenkins Arbitrary File Read Vulnerability Through the CLI Can Lead to RCE — уязвимость в библиотеке args4j для разбора аргументов и опций командной строки на контроллере Jenkins позволяет злоумышленникам читать произвольные файлы в файловой системе контроллера Jenkins, используя кодировку символов по умолчанию процесса контроллера Jenkins. Эта уязвимость зафиксирована на 24 хостах.

2.CVE-2023-23752: Joomla v4.2.8 — Unauthenticated Information Disclosure — уязвимость обхода аутентификации, которая позволяет неаутентифицированным пользователям получить доступ к конфиденциальной информации о Joomla, уязвимые версии Joomla с 4.0.0 по 4.2.7. Эта уязвимость зафиксирована на 54 ИР.

3.CWE-527: Exposure of Version-Control Repository to an Unauthorized Control Sphere — открытые системы контроля версии (git, svn) зачастую позволяют прочитать актуальный исходный код интернет-ресурса, получить чувствительную информацию (файлы конфигурации и т. д.). В результате эксплуатации уязвимости злоумышленник может скомпрометировать интернет-ресурс, получить учетные данные для доступа к базе данных, более детально изучить исходный код интернет-ресурса и найти дополнительные уязвимости. Эта уязвимость зафиксирована на 64 ИР.

4.CWE-1391: Postgres Weak Credentials — продукт использует слабые учетные данные, которые могут быть подобраны злоумышленником. Эта уязвимость зафиксирована на 4 хостах.

5.DNS Zone Transfer — уязвимость «Передача зоны DNS» возникает, когда DNS-сервер разрешает запрос на передачу всей зоны (всех записей) для определенного домена. Это делается с использованием механизма, называемого DNS Zone Transfer. Запрос на передачу зоны может быть выполнен злоумышленником с целью получения полной информации о домене, включая список всех поддоменов и соответствующие им IP-адреса. Эта уязвимость зафиксирована на 1 128 ИР.

6.CWE-200: Laravel Debug Mode Enabled — веб-приложение использует фреймворк Laravel. На интернет-ресурсе включен режим отладки Laravel (debug mode: on). В производственной среде следует отключить режим отладки, поскольку он приводит к раскрытию конфиденциальной информации о веб-приложении. Уязвимость зафиксирована на 87 ИР.

7. No DMARC Record Found — уязвимость «No DMARC Record Found» возникает, если DNS-сервер, используемый доменным именем, не содержит опубликованной действительной записи DMARC. DMARC помогает защитить домен от атак, таких как фишинг и прямая подмена домена. Уязвимость зафиксирована на 1 694 ИР.

8.CVE-2021-34473: Microsoft Exchange Server RCE — критичная уязвимость в службе Client Access Service (CAS) ПО Microsoft Exchange, работающего на порту 443, позволяет произвести удаленное выполнение кода без аутентификации на серверах Microsoft Exchange с правами SYSTEM. Уязвимость зафиксирована на 30 серверах.

9. CVE-2021-26855: Microsoft Exchange Server SSRF Vulnerability (ProxyLogon) — уязвимость CVE-2021-26855, относящаяся к серверу Microsoft Exchange, позволяет злоумышленнику обойти аутентификацию и выдаваться за администратора. В результате неаутентифицированный атакующий может выполнить произвольные команды на сервере Microsoft Exchange. Уязвимость зафиксирована на 14 серверах.

Февраль

1.CVE-2023-36845: Juniper Firewalls — Remote Code Execution Уязвимость в PHP External Variable Modification в J-Web от Juniper Networks Junos OS на устройствах серии EX и SRX позволяет неавторизованному пользователю удаленно выполнить код. Путем создания специализированного запроса, который устанавливает переменную PHPRC, злоумышленник может изменить среду выполнения PHP, что позволяет внедрить и выполнить код. Эта проблема затрагивает Juniper Networks Junos OS на устройствах EX серии и SRX серии. Уязвимость зафиксирована на 11 серверах.

2.Также в результате мониторинга угроз информационной безопасности была выявлена уязвимость API1:2023 — Broken Object Level Authorization. API-интерфейсы, как правило, предоставляют конечные точки, которые обрабатывают идентификаторы объектов, создавая широкую поверхность атаки на проблемы управления доступом на уровне объектов. Проверки авторизации на уровне объекта должны рассматриваться в каждой функции, которая получает доступ к источнику данных с использованием идентификатора пользователя.

Март 

1.CWE-434: Unrestricted Upload of File With Dangerous Type — уязвимость связана с неограниченной загрузкой файлов на веб-приложениях, где отсутствует должная проверка типов файлов, разрешенных для загрузки. Эта уязвимость позволяет злоумышленникам загружать и выполнять вредоносные файлы, такие как исполняемые скрипты, вредоносные программы или файлы, содержащие вредоносный код. Уязвимость зафиксирована на 1 ИР.

2.CWE-639: Authorization Bypass Through User-Controlled Key (iDOR) — уязвимость, которая позволяет просматривать, скачивать и удалять данные других пользователей. Данная уязвимость заключается в том, что прямая ссылка (например, идентификатор базы данных или имя файла) на закрытый объект предоставляется пользователям как часть параметра URL (уникальный указатель ресурса/файла в сети Интернет). Кроме того, веб-приложение не осуществляет контроль доступа, а именно проверку прав пользователя на доступ к закрытому объекту, присутствующему в URL адресе запроса. Уязвимость зафиксирована на 1 ИР.

3.CWE-548: Exposure of Information Through Directory Listing — неправильная конфигурация веб-сервера, позволяющая просматривать содержимое каталогов ИР, что может привести к раскрытию конфиденциальной информации. Уязвимость зафиксирована на 8 ИР.

4.Также в ходе разведки на основе открытых данных было обнаружено 48 уязвимых ИР (101 уникальная угроза ИБ, на одном ИР может быть несколько уязвимостей) в доменной зоне образовательного сектора *edu.kz с системой управления контентом CMS «Joomla» c 16 идентификаторами CVE.

5.Также выявлено 138 IP-адресов Microsoft Exchange Server, подверженных 81 уникальному идентификатору уязвимостей, общее количество идентификаторов CVE — 2685.

Во избежание возможных рисков и угроз ИБ Службой KZ-CERT выработаны рекомендации и проведены мероприятия по оповещению собственников/владельцев ИР и IP-адресов, по которым выявлены уязвимости.