Η CISA δίνει εντολή στις κυβερνητικές υπηρεσίες να επιδιορθώσουν σφάλματα που εκμεταλλεύονται Ρώσοι χάκερ
Related Posts
Την Πέμπτη, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) πρόσθεσε έξι ακόμη ελαττώματα ασφαλείας στη λίστα των γνωστών εκμεταλλευόμενων τρωτών σημείων (KEV).
Τρεις από αυτούς αξιοποιήθηκαν από Ρώσους κυβερνοκατασκόπους του APT28 για να παραβιάσουν διακομιστές ηλεκτρονικού ταχυδρομείου Roundcube που ανήκουν σε κυβερνητικούς οργανισμούς της Ουκρανίας.
Η ομάδα κυβερνοκατασκοπείας (επίσης παρακολουθείται ως BlueDelta, Fancy Bear) συνδέθηκε προηγουμένως με την Κεντρική Διεύθυνση Πληροφοριών του Γενικού Επιτελείου της Ρωσίας (GRU), τη στρατιωτική υπηρεσία πληροφοριών της χώρας.
Σύμφωνα με μια κοινή έρευνα από το τμήμα έρευνας απειλών της Recorded Future
Insikt Group
και η ομάδα αντιμετώπισης εκτάκτων περιστατικών υπολογιστών της Ουκρανίας (
CERT-UA
), οι επιτιθέμενοι εκμεταλλεύτηκαν τη σύγκρουση Ρωσίας-Ουκρανίας για να εξαπατήσουν τους παραλήπτες να ανοίξουν κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου για να εκμεταλλευτούν τρωτά σημεία (
CVE-2020-35730
,
CVE-2020-12641
και
CVE-2021-44026
) στο λογισμικό Roundcube Webmail και παραχωρώντας τους μη εξουσιοδοτημένη πρόσβαση σε μη επιδιορθωμένους διακομιστές.
Μόλις οι διακομιστές email παραβιάστηκαν, χρησιμοποίησαν κακόβουλα σενάρια για αναγνώριση, συλλογή email ενδιαφέροντος και κλοπή του βιβλίου διευθύνσεων Roundcube των στόχων, των cookies περιόδου λειτουργίας και άλλων πολύτιμων πληροφοριών που ήταν αποθηκευμένες στη βάση δεδομένων του Roundcube.
Τα στοιχεία που συγκεντρώθηκαν κατά τη διάρκεια της έρευνας υποδηλώνουν ότι ο πρωταρχικός στόχος αυτής της εκστρατείας ήταν η διείσδυση στρατιωτικών πληροφοριών για την υποστήριξη της εισβολής της Ρωσίας στην Ουκρανία.
«Εντοπίσαμε δραστηριότητα BlueDelta που είναι πολύ πιθανό να στοχεύει μια περιφερειακή ουκρανική εισαγγελία και μια κεντρική εκτελεστική αρχή της Ουκρανίας, καθώς και αναγνωριστική δραστηριότητα που περιλαμβάνει πρόσθετες κυβερνητικές οντότητες της Ουκρανίας και έναν οργανισμό που εμπλέκεται στην αναβάθμιση και ανακαίνιση υποδομής ουκρανικών στρατιωτικών αεροσκαφών», η Insikt Group.
είπε
.
Οι ομοσπονδιακές υπηρεσίες διέταξαν να επιδιορθωθούν έως τις 13 Ιουλίου
Άλλα τρωτά σημεία που προστέθηκαν σήμερα στον κατάλογο KEV η CISA περιλαμβάνουν ένα κρίσιμο σφάλμα VMware που έχει επιδιορθωθεί τώρα που επιτρέπει την απομακρυσμένη εκτέλεση κώδικα (
CVE-2023-20887
), καθώς και ένα Mozilla Firefox/Thunderbird (
CVE-2016-9079
) και κλιμάκωση προνομίων
Microsoft
Win32k (
CVE-2016-0165
) ελαττώματα που διορθώθηκαν το 2016.
Οι ομοσπονδιακές υπηρεσίες των ΗΠΑ πρέπει να ελέγξουν εάν τα συστήματά τους επηρεάζονται από αυτά τα τρωτά σημεία και να εφαρμόσουν τις απαιτούμενες ενημερώσεις ασφαλείας ή μετριασμούς για την ασφάλειά τους έως τις 13 Ιουλίου.
Σύμφωνα με τη δεσμευτική επιχειρησιακή οδηγία BOD 22-01 που εκδόθηκε τον Νοέμβριο του 2021, οι Federal Civilian Executive Branch Agencies (FCEB) πρέπει να αξιολογήσουν και να ασφαλίσουν τα δίκτυά τους για όλα τα τρωτά σημεία που αναφέρονται στον κατάλογο KEV, ο οποίος επί του παρόντος περιέχει περισσότερες από 950 καταχωρίσεις.
Ενώ η κύρια εστίαση του καταλόγου KEV είναι η ειδοποίηση των ομοσπονδιακών υπηρεσιών για εκμεταλλευόμενες ευπάθειες που πρέπει να διορθωθούν το συντομότερο δυνατό, συνιστάται επίσης ιδιαίτερα οι ιδιωτικές εταιρείες παγκοσμίως να δώσουν προτεραιότητα στην αντιμετώπιση αυτών των σφαλμάτων.
Νωρίτερα αυτό το μήνα, η υπηρεσία κυβερνοασφάλειας διέταξε τις ομοσπονδιακές υπηρεσίες των ΗΠΑ να επιδιορθώσουν μια ευπάθεια του MOVEit που εκμεταλλευόταν η συμμορία Clop για κλοπή δεδομένων.
Την περασμένη εβδομάδα, η CISA εξέδωσε επίσης μια εντολή ζητώντας από τις κυβερνητικές υπηρεσίες να προστατεύσουν τον εσφαλμένο ή εκτεθειμένο στο Διαδίκτυο εξοπλισμό δικτύωσης εντός 14 ημερών από την ανακάλυψη.
