Zestawienie tygodniowe 13 - 20 września

Amerykańska Agencja ds. Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), Federalne Biuro Śledcze (FBI) i Dowództwo Cybernetyczne Straży Przybrzeżnej (CGCYBER) podniosły alarm w związku z atakami, których celem jest niedawno ujawniona luka w zabezpieczeniach ManageEngine ADSelfService Plus.

Śledzona jako CVE-2021-40539 i mająca krytyczny poziom ważności (wynik CVSS 9,8) jest wykorzystywana od sierpnia 2021 r. do zdalnego wykonywania kodu i przejmowania podatnych systemów. Problem polega na błędzie obejścia uwierzytelniania, który dotyczy wszystkich kompilacji ADSelfService Plus do 6113.

Instytucje akademickie, infrastruktura krytyczna (komunikacja, finanse, IT, logistyka, produkcja, transport i inne) oraz kontrahenci z branży obronnej są narażeni na ryzyko kompromitacji z powodu korzystania z ADSelfService Plus.

Osoba atakująca, która może skutecznie wykorzystać CVE-2021-40539, może przesłać archiwum .zip zawierające powłokę internetową JavaServer Pages (JSP) podszywającą się pod certyfikat x509. Atakujący następnie wykorzystuje Instrumentację zarządzania Windows (WMI) do ruchu bocznego. Hackerzy próbują również uzyskać dostęp do kontrolerów domeny i rozszerzyć dostęp.

„Potwierdzenie udanego włamania do ManageEngine ADSelfService Plus może być trudne — atakujący uruchamiają skrypty czyszczące zaprojektowane w celu usunięcia śladów początkowego punktu narażenia i ukrycia wszelkich związków między wykorzystaniem luki w zabezpieczeniach a powłoką WWW” — czytamy we wspólnym poradniku.

Błąd został rozwiązany w programie ADSelfService Plus w wersji 6114 i zaleca się klientom jak najszybsze zaktualizowanie go. Ponadto FBI, CISA i CGCYBER zdecydowanie zalecają organizacjom odłączenie programu ADSelfService Plus od Internetu.

Autor: Kapitan Hack Data dodania: 20 wrz 2021 09:57 5 min czytania

Cyberataki na polityków w Niemczech

W zeszłym tygodniu Hakerzy, na krótko, uszkodzili stronę internetową organu prowadzącego wybory parlamentarne w Niemczech (26 września), potwierdził w środę AFP rzecznik instytucji. Co ciekawe sytuacja, o której po raz pierwszy poinformował Business Insider, ma miejsce, w chwili, gdy niemieccy prokuratorzy federalni badają rzekome cyberataki na ustawodawców podczas kampanii wyborczej do parlamentu.

Business Insider poinformował, że strona internetowa, która publikuje oficjalne wyniki głosowania, została zbombardowana żądaniami danych w tak zwanym ataku rozproszonej odmowy usługi, co doprowadziło do awarii serwerów. Podobno systemy informatyczne niezbędne do przeprowadzenia samych wyborów nie zostały naruszone, prawdopodobnie z powodu wprowadzonych dodatkowych zabezpieczeń.

Prokuratura federalna poinformowała w zeszłym tygodniu, że wszczęła „dochodzenie w sprawie podejrzenia o szpiegostwo” w związku z oskarżeniami niemieckiego rządu o serie ataków rosyjskiego wywiadu na parlamentarzystów.

Berlin wskazał palcem na hakerów z rosyjskiej grupy Ghostwriter, która podobno specjalizuje się w rozpowszechnianiu dezinformacji. Niemiecki wywiad uważa, że próbowali uzyskać dostęp do prywatnych kont e-mail federalnych i regionalnych posłów i twierdzi, że za atakami stoi rosyjska służba wywiadu wojskowego GRU.

Skazany za serwis DDoS do wynajęcia

Mieszkaniec stanu Illinois, który obsługiwał serwis internetowy umożliwiający użytkownikom przeprowadzanie rozproszonych ataków typu „odmowa usługi” (DDoS) na wybrane cele, został uznany za winnego.

Matthew Gatrel, lat 32, z St. Charles, został skazany za obsługę usługi „bootowania” DownThem, dzięki której abonenci płacili, aby wybrane cele zostały zalane niepożądanym ruchem, który wyłączałby lub spowalniał komputery.

DownThem miał ponad 2000 zarejestrowanych użytkowników i uważa się, że jest odpowiedzialny za ponad 200 000 przeprowadzonych ataków. Subskrybenci korzystali z tej usługi, aby kierować reklamy do użytkowników domowych, witryn władz miejskich i lokalnych, szkół i uniwersytetów oraz instytucji finansowych na całym świecie.

DownThem zapewniało klientom różne plany subskrypcji, zróżnicowane pod względem kosztów. Użytkownicy mogli wybrać czas trwania i siłę ataku, a nawet przeprowadzać jednoczesne ataki.

Gatrel został skazany na 35 lat pozbawienia wolności za trzy zarzuty: nieautoryzowane uszkodzenie i spisek mający na celu nieautoryzowane uszkodzenie chronionego komputera oraz spisek mający na celu oszustwo.

DownThem zostało skonfiskowane w grudniu 2018 roku, kiedy Stany Zjednoczone ogłosiły oskarżenia przeciwko Gatrelowi. Miesiąc później władze rozpoczęły śledzenie użytkowników tej i innych usług DDoS do wynajęcia.