افشای نفوذ هکرها به یک نهاد فدرال آمریکا

به گزارش کارگروه امنیت خبرگزاری سایبربان، پاسخ به این حادثه پس از هشدارهای سیستم شناسایی نقاط پایانی آغاز شد.

در طول سه هفته، مهاجمان سایبری با بهره‌گیری از این نقص توانستند دسترسی اولیه بگیرند، در شبکه به‌صورت جانبی حرکت کنند و ماندگاری خود را در چندین سرور تثبیت نمایند.

گزارش آژانس امنیت سایبری و زیرساخت آمریکا (CISA) بر ضرورت حیاتی وصله‌کردن به‌موقع آسیب‌پذیری‌ها، اجرای برنامه‌های پاسخ آزمایش‌شده و بررسی مستمر هشدارها تأکید دارد.

در ۱۱ ژوئیه ۲۰۲۴، مهاجمان از آسیب‌پذیری CVE-2024-36401 (آسیب‌پذیری موسوم به اول اینجکشن (eval injection) در ژئو سرور (GeoServer) استفاده کردند تا روی یک سرور عمومی فرمان اجرا کنند.

با وجود افشای این نقص ۱۱ روز پیش‌تر، سازمان هنوز وصله امنیتی را اعمال نکرده بود.

مهاجمان از این ضعف برای دانلود ابزارهای متن‌باز، نصب وب‌شل‌ها و ایجاد کرون‌جاب‌ها جهت ماندگاری استفاده کردند.

یازده روز بعد، همان آسیب‌پذیری روی یک نمونه دوم ژئو سرور هم مورد بهره‌برداری قرار گرفت و دامنه نفوذ گسترده‌تر شد.

پس از به خطر افتادن هر دو ژئو سرور، مهاجمان به یک سرور وب و سپس به یک سرور داخلی SQL نفوذ کردند.

آن‌ها با سوءاستفاده از قابلیت xp_cmdshell در سرور SQL توانستند قابلیت اجرای کد از راه دور را به دست آورند.

فعالیت آن‌ها در طول سه هفته شناسایی نشد، زیرا برخی از سیستم‌های در معرض اینترنت فاقد حفاظت نقطه پایانی بودند و هشدارهای EDR نیز به‌طور مستمر بررسی نمی‌شدند.

این نقض تنها زمانی آشکار شد که در ۳۱ ژوئیه یک هشدار EDR انتقال مشکوک فایل را گزارش کرد.

در پی آن، مرکز عملیات امنیت سازمان سرور SQL را ایزوله و آژانس امنیت سایبری و زیرساخت را فراخواند.

کاستی‌های کلیدی شناسایی‌شده توسط آژانس امنیت سایبری و زیرساخت آمریکا:

1.    وصله‌نشدن به‌موقع: نقص حیاتی ژئو سرور هفته‌ها پیش از سوءاستفاده اصلاح شده بود. اگر وصله سریع اعمال می‌شد، دسترسی اولیه مسدود می‌گردید.
2.    برنامه پاسخ تمرین‌نشده: برنامه پاسخ به حادثه سازمان آزمایش نشده بود و شامل دستورالعمل‌های لازم برای همکاری با شرکای خارجی یا دسترسی دادن به ابزارهای امنیتی نبود. این موضوع سرعت اقدام آژانس امنیت سایبری و زیرساخت را کاهش داد.
3.    نظارت ناقص بر هشدارها: هشدارهای EDR به‌طور مداوم پایش نمی‌شدند و برخی سرورهای عمومی فاقد حفاظت نقطه پایانی بودند. بررسی پیوسته هشدارها و پوشش کامل امنیت نقطه پایانی برای شناسایی زودهنگام حیاتی است.

این یافته‌ها نشان می‌دهد که فقط فناوری برای ایمن‌سازی سازمان کافی نیست؛ بلکه فرآیندها، برنامه‌ریزی و نیروی انسانی باید با هم کار کنند تا ریسک کاهش یابد، آمادگی برای حوادث فراهم شود و واکنش‌ها اثربخش باشند.

توصیه‌های آژانس امنیت سایبری و زیرساخت ایالات متحده برای همه نهادهای فدرال و سازمان‌های زیرساخت حیاتی:

•    پیشگیری از نفوذ با اولویت‌دادن به وصله سریع آسیب‌پذیری‌های شناخته‌شده در سیستم‌های عمومی.
•    آمادگی برای حوادث با نگهداری و تمرین یک برنامه پاسخ تفصیلی که شامل روند همکاری با طرف‌های ثالث و دسترسی به منابع کلیدی باشد.
•    افزایش توان شناسایی با پیاده‌سازی ثبت جامع رویدادها و متمرکز کردن لاگ‌ها در یک محل خارج از دسترس مستقیم سیستم‌ها تا در جریان حادثه محفوظ بمانند و امکان شکار تهدید به‌موقع فراهم شود.

این هشدار همچنین تاکتیک‌ها، تکنیک‌ها و روش‌های (TTPs) استفاده‌شده توسط مهاجمان و شاخص‌های نفوذ (IOCs) قابل دانلود در قالب‌های STIX و JSON را ارائه می‌دهد.

سازمان‌ها باید این شاخص‌ها را بررسی و قوانین شناسایی خود را مطابق آن تنظیم کنند.

با یادگیری از این حادثه، نهادها می‌توانند دفاع خود را در برابر سوءاستفاده‌های مشابه تقویت کرده و وضعیت کلی امنیتی‌شان را بهبود دهند.