Přeskočit na obsah

Komentář GovCERT.CZ k napadení webů ukrajinské vlády a doporučení k zabezpečení

V noci ze čtvrtka 13. ledna na pátek 14. ledna 2022 proběhl útok na řadu vládních webů ukrajinské vlády, včetně ministerstva zahraničí, při kterém došlo k nahrazení originálního obsahu webových stránek obsahem vytvořeným útočníkem, tzv. defacementem. Tato technika je obvykle používána politicky motivovanými skupinami jako forma kybernetického graffiti. V zásadě ale nelze vyloučit, že defacement může být pouze forma klamné operace a cíl útočníků může být jiný – například získání přístupu do interních systémů organizace. Proto by i těmto typům útoků měla být věnována obdobná pozornost, jako v případě jiných incidentů.

Dle ukrajinského CERT týmu útočníci pravděpodobně zneužili zranitelnost CVE-2021-32648 redakčního systému s názvem October CMS. Tato zranitelnost spočívá v tom, že kdokoliv s přístupem k administračnímu rozhraní systému, které je ve výchozím nastavení přístupné z internetu, mohl změnit administrátorské heslo a následně se přihlásit do systému.

Zranitelnost byla v systému opravena již v březnu minulého roku ve verzích 1.0.472 a 1.1.5, v době útoku se tedy nejednalo o zranitelnost nultého dne.

Redakční systém October CMS není v České republice rozšířen, dle našich informací je u nás provozováno jen několik desítek instancí tohoto systému. Přesto se podobné typy zranitelností mohou objevit i v jiných redakčních systémech, níže proto uvádíme seznam doporučení, díky kterým je možné podobným útokům předcházet nebo alespoň minimalizovat jejich dopad.

Doporučení:

Udržujte využívaný redakční systém aktualizovaný a sledujte oznámení vývojářů o zranitelnostech.
Administrační rozhraní redakčního systému by nemělo být přístupné z Internetu, ale pouze z definovaných rozsahů IP adres nebo přes dodatečnou autentizaci (např. VPN).
Pro přístup do administrace využívejte vícefaktorovou autentizaci.
Využívejte službu pro automatický monitoring důležitých webových stránek, která vás upozorní na nedostupnost nebo jejich změnu.
Pravidelně zálohujte a mějte připravené postupy pro obnovu webových stránek ze zálohy.
Mějte připravené rychlé řešení, pokud dojde k defacementu (např. změnou DNS přesměrujte uživatele na jiný server, který bude informovat o aktuální situaci).
Server s webovými stránkami umístěte v jiné síti, než interní servery organizace, aby se případný útočník nemohl laterálně pohybovat v síti na další servery.
TTPs

T1190 – Exploit Public-Facing Application
T1491.002 – Defacement: External Defacement

Zdroj: NÚKIB

Zdroj: eGOVERNMENT NETWORK NEWS

Zdroj: B2B NETWORK NEWS