Двойной удар по федеральным серверам США: почему требования CISA были проигнорированы

Агентство кибербезопасности и инфраструктурной безопасности (CISA) раскрыло информацию о серьёзных атаках на два публичных сервера федерального агентства США. Преступники использовали критическую уязвимость в Adobe ColdFusion, обозначенную как CVE-2023-26360 .

Уязвимость была обнародована в марте, а уже в апреле она попала в каталог известных эксплуатируемых уязвимостей CISA, где федеральным агентствам США был установлен срок до 5 апреля для её устранения.

Тем не менее, в июне и июле было выявлено , что уязвимость так и не была исправлена, в первую очередь по вине Adobe, что позволило злоумышленникам успешно атаковать уязвимые системы на протяжении долгого времени.

CISA не предоставило информации о том, была ли уязвимость впоследствии полностью устранена, кто стоял за этими атаками, и какова официальная позиция агентства по поводу пропущенного срока исправления.

В результате анализа логов было выявлено, что федеральные серверы подверглись двум отдельным атакам. Оба атакованных сервера использовали устаревшие версии ColdFusion и были уязвимы для нескольких CVE. Злоумышленники инициировали различные команды на скомпрометированных серверах, в том числе использовали уязвимость для загрузки вредоносного ПО.

Хотя CISA не может подтвердить, были ли данные похищены, предполагается, что обе атаки были направлены на разведку для изучения более широкой сети. Неясно, связаны ли эти атаки с одними и теми же операторами.

Первая атака произошла второго июня. Злоумышленники получили доступ к серверу, используя уязвимость CVE-2023-26360, и выполнили различные задачи разведки. Однако другие фазы атаки, такие как попытки собрать учётные данные и изменить политики на скомпрометированных серверах, были неудачными.

Второе нарушение случилось 26 июня. Атакующие проэксплуатировали CVE-2023-26360 и долго исследовали систему. Однако вредоносный код не смог расшифровать пароли, так как был рассчитан на более старые версии ColdFusion.

CISA подчёркивает, что атакующие, скорее всего, получили доступ к сид-значению и методу шифрования ColdFusion, что теоретически позволяет расшифровать пароли. Несмотря на это, на скомпрометированном сервере не было обнаружено вредоносного кода, указывающего на попытки расшифровки с использованием этих значений.

Эти инциденты подчёркивают необходимость своевременного обновления программного обеспечения для предотвращения подобных кибератак. Даже если поставщик ПО не может сразу полностью заделать брешь безопасности, он обязательно сделает это в последующих обновлениях. Именно поэтому администраторам крайне важно оперативно устанавливать любые обновления безопасности. Принцип «работает – не трогай» здесь абсолютно не применим.