La CISA partage les leçons app... Note

La CISA partage les leçons apprises d'une mission de réponse aux incidents

La CISA a réagi à un incident de cybersécurité dans une agence fédérale américaine après que son outil de détection et de réponse des points d'extrémité a signalé une activité suspecte. L'agence a été compromise en exploitant la CVE-2024-36401 dans deux GeoServers. Cette vulnérabilité, divulguée peu avant son exploitation, a permis aux attaquants d'obtenir l'exécution de code à distance.Les attaquants sont restés indétectés pendant trois semaines, période pendant laquelle ils se sont déplacés latéralement vers d'autres serveurs. Les principales leçons tirées de cet engagement mettent en évidence des défaillances critiques en matière de sécurité. La remédiation rapide des vulnérabilités, en particulier dans les systèmes exposés au public, est essentielle.Les organisations doivent tester et mettre à jour régulièrement leurs plans de réponse aux incidents, en veillant à ce qu'ils facilitent l'assistance de tiers. L'examen continu des alertes de détection et de réponse des points d'extrémité est crucial pour la détection rapide des menaces. La mise en œuvre d'une journalisation complète et centralisée est également essentielle pour une analyse efficace des incidents.Les attaquants ont utilisé des outils disponibles publiquement pour la reconnaissance, le développement de ressources et diverses étapes de leur attaque. Ils ont utilisé des web shells, des cron jobs et des comptes valides pour la persistance. Des tentatives d'escalade de privilèges ont été effectuées à l'aide d'exploits Linux connus.Les tactiques d'évasion de la défense comprenaient l'exécution indirecte de commandes et l'utilisation d'outils tels que RingQ. L'accès aux identifiants a été obtenu par des techniques de force brute et l'exploitation de comptes de service. Les efforts de découverte comprenaient la numérisation du réseau et des outils d'évaluation des vulnérabilités. La CISA fournit des indicateurs de compromission et des détails techniques pour aider les organisations à prévenir des attaques similaires.
CdXz5zHNQW_HWczZ8ypOU.jpeg