CISA делится извлеченными урок... Заметка

CISA делится извлеченными уроками из инцидента реагирования

CISA отреагировала на киберинцидент в федеральном агентстве США после того, как его инструмент обнаружения и реагирования на конечных точках выявил подозрительную активность. Агентство было скомпрометировано путем эксплуатации CVE-2024-36401 в двух GeoServers. Эта уязвимость, раскрытая незадолго до эксплуатации, позволила злоумышленникам получить удаленное выполнение кода.Злоумышленники оставались необнаруженными в течение трех недель, в течение которых они перемещались по другим серверам. Ключевые уроки, извлеченные из этого инцидента, подчеркивают критические сбои в системе безопасности. Своевременное устранение уязвимостей, особенно в общедоступных системах, имеет важное значение.Организации должны регулярно тестировать и обновлять свои планы реагирования на инциденты, обеспечивая возможность привлечения сторонней помощи. Постоянный анализ оповещений от систем обнаружения и реагирования на конечных точках имеет решающее значение для своевременного обнаружения угроз. Внедрение комплексного и централизованного логирования также жизненно важно для эффективного анализа инцидентов.Злоумышленники использовали общедоступные инструменты для разведки, разработки ресурсов и различных этапов своей атаки. Они использовали веб-оболочки, cron-задания и действительные учетные записи для обеспечения устойчивости. Попытки повышения привилегий предпринимались с использованием известных эксплойтов для Linux.Тактика уклонения от обнаружения включала косвенное выполнение команд и использование таких инструментов, как RingQ. Доступ к учетным данным был получен с помощью методов перебора и эксплуатации служебных учетных записей. Усилия по обнаружению включали сканирование сети и инструменты оценки уязвимостей. CISA предоставляет индикаторы компрометации и технические детали, чтобы помочь организациям предотвратить подобные атаки.
CdXz5zHNQW_HWczZ8ypOU.jpeg