V noci ze čtvrtka 13. ledna na pátek 14. ledna 2022 proběhl útok na řadu vládních webů ukrajinské vlády, včetně ministerstva zahraničí, při kterém došlo k nahrazení originálního obsahu webových stránek obsahem vytvořeným útočníkem, tzv. defacementem. Tato technika je obvykle používána politicky motivovanými skupinami jako forma kybernetického graffiti. V zásadě ale nelze vyloučit, že defacement může být pouze forma klamné operace a cíl útočníků může být jiný – například získání přístupu do interních systémů organizace. Proto by i těmto typům útoků měla být věnována obdobná pozornost, jako v případě jiných incidentů.
Dle ukrajinského CERT týmu útočníci pravděpodobně zneužili zranitelnost CVE-2021-32648 redakčního systému s názvem October CMS. Tato zranitelnost spočívá v tom, že kdokoliv s přístupem k administračnímu rozhraní systému, které je ve výchozím nastavení přístupné z internetu, mohl změnit administrátorské heslo a následně se přihlásit do systému.
Zranitelnost byla v systému opravena již v březnu minulého roku ve verzích 1.0.472 a 1.1.5, v době útoku se tedy nejednalo o zranitelnost nultého dne.
Redakční systém October CMS není v České republice rozšířen, dle našich informací je u nás provozováno jen několik desítek instancí tohoto systému. Přesto se podobné typy zranitelností mohou objevit i v jiných redakčních systémech, níže proto uvádíme seznam doporučení, díky kterým je možné podobným útokům předcházet nebo alespoň minimalizovat jejich dopad.
Doporučení:
- Udržujte využívaný redakční systém aktualizovaný a sledujte oznámení vývojářů o zranitelnostech.
- Administrační rozhraní redakčního systému by nemělo být přístupné z Internetu, ale pouze z definovaných rozsahů IP adres nebo přes dodatečnou autentizaci (např. VPN).
- Pro přístup do administrace využívejte vícefaktorovou autentizaci.
- Využívejte službu pro automatický monitoring důležitých webových stránek, která vás upozorní na nedostupnost nebo jejich změnu.
- Pravidelně zálohujte a mějte připravené postupy pro obnovu webových stránek ze zálohy.
- Mějte připravené rychlé řešení, pokud dojde k defacementu (např. změnou DNS přesměrujte uživatele na jiný server, který bude informovat o aktuální situaci).
- Server s webovými stránkami umístěte v jiné síti, než interní servery organizace, aby se případný útočník nemohl laterálně pohybovat v síti na další servery.
TTPs
T1190 – Exploit Public-Facing Application
T1491.002 – Defacement: External Defacement
Zdroj: NÚKIB