CISA: Kiberellenálló képesség fejlesztése
A Cybersecurity and Infrastructure Security Agency (CISA) közzétett egy figyelmeztetést, amely a “Kiberellenálló képesség fejlesztése: CISA Red Team értékelés az Egyesült Államok kritikus infrastruktúrájának szervezetéről” címet viseli. A jelentés bemutatja egy kritikus infrastruktúra-szervezetnél végzett Red Team tesztelés eredményeit, amely során valós támadási szimulációkat végeztek a szervezet kiberbiztonsági észlelési és válaszadási képességeinek vizsgálatára.
A CISA egy kritikus infrastruktúrát üzemeltető szervezetnél végzett szimulált támadást, amely során kihasználták egy korábbi sérülékenységvizsgálatból visszamaradt webshell sebezhetőségét. Ezen keresztül hozzáfértek különböző hitelesítő adatokhoz és biztonsági kulcsokhoz, majd továbbhaladva a hálózaton, végül teljes ellenőrzést szereztek a szervezet domainje és több érzékeny üzleti rendszer felett.
A CISA három hónapon át tartó műveletében előzetes információk nélkül kezdte meg a célpont technológiai eszközeinek felderítését. Nyilvánosan elérhető eszközökkel, mint a Shodan és a Censys, kutattak a szervezet hálózatáról és alkalmazottairól. Egy spear phishing kampány során 13 alkalmazottat céloztak meg, akik közül egy válaszolt, és futtatott két rosszindulatú programot, de a biztonsági rendszerek megakadályozták a további behatolást.
A további kutatás során a csapat egy régi, nem javított szolgáltatást talált, amely ismert XML External Entity (XXE) sebezhetőséggel rendelkezett. Egy nyilvánosan elérhető proof of concept segítségével kihasználták ezt a hibát, és telepítettek egy webshellt, de felfedezték, hogy már létezett egy korábbi webshell a szervezet Linux webszerverén.
A CISA hangsúlyozta, hogy a szervezeteknek rendszeresen ellenőrizniük kell rendszereiket a nem használt vagy elavult webshell-ek eltávolítása érdekében, és rétegezett hálózati biztonsági intézkedéseket kell alkalmazniuk a hasonló támadások megelőzése érdekében.
A jelentés részletesen bemutatja a Red Team által alkalmazott taktikákat, technikákat és eljárásokat (TTP-k), valamint további ajánlásokat tartalmaz a hálózati védelmi intézkedések és szoftvergyártók számára.