Кибер-атака на государственные сайты Украины через уязвимость CMS
В ночь с 13 на 14 января 2022 года сайты многих украинских ведомств не работали из-за хакерской атаки — дефейс (когда главную страницу подменяют другой или каким-либо сообщением). На момент публикации некоторые сайты до сих пор недоступны.
Возможный способ проведения атаки – уязвимость бесплатной CMS-системы OctoberCMS. Об этом пишет американская журналистка-расследователь Ким Зеттер, автор книги об атаке ядерных объектов Ирана Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon.
Источники сообщают мне, что около 15 сайтов в Украине, использующих систему управления контентом October, были дефейсированы, в том числе Министерство иностранных дел, Кабинет Министров, Министерство образования, Службы по чрезвычайным ситуациям, Казначейство, Охрана окружающей среды.
OctoberCMS - это CMS, основанная на Laravel PHP Framework. В уязвимых версиях пакета October/System злоумышленник может запросить сброс пароля учетной записи, а затем получить доступ к учетной записи с помощью специально созданного запроса. Проблема была исправлена в сборке 472 и версии 1.1.5.
Злоумышленники, по-видимому, воспользовались этим через несвоевременное обновление программного обеспечения на некоторых правительственных интернет-ресурсах Украиины.
Что известно об атаке
От атаки пострадали несколько сайтов украинских министерств и государственных сервисов, в частности Министерства цифровой трансформации, Министерства образования, Министерства иностранных дел, портал «Дія» и другие. Последний на момент публикации до сих пор отдает ошибку 503, хотя приложение «Дія» работает штатно.
Акции и скидки
Цените особое отношение? Тогда эта страничка именно для вас – аппетитно заманчиво выгодные предложения на избранные товары Top Shop! Побалуйте себя и родных!
По словам депутата Александра Федиенко, заместителя председателя Комитета и председателя подкомитета цифровой и смарт-инфраструктуры, электронных коммуникаций, кибербезопасности и киберзащиты Комитета ВР по цифровой трансформации, хакеры смогли только поменять главные страницы, а не получить доступ к реестрам и базам данных:
«Наблюдались атаки на ряд государственных ресурсов, но хакеры смогли только изменить основные страницы сайтов и не смогли проникнуть дальше. Ведется работа по локализации последствий. Государственные службы сработали довольно оперативно, и большинство сайтов отключили для локализации проблемы. Регистры и базы данных в безопасности. То есть утечки персональных данных не произошло. На сайтах никакой информации, кроме новостей, не хранится».
В Минцифре также заявили, что контент сайтов в результате атаки остался без изменений, и утечки персональных данных не произошло. Все сайты должны возобновить работу в ближайшее время. С подобным заявлением выступила и Правительственная команда реагирования на чрезвычайные события CERT-UA.
Что известно об уязвимости OctoberCMS
OctoberCMS – это бесплатная система для управления контентом сайта. Журналистка Ким Зеттер ссылается на источник, по которому атаку совершили из-за уязвимости именно в этой системе. Об уязвимости CVE-2021-32648 было известно с прошлого года. Через нее хакеры могли посылать запрос на сброс пароля от аккаунта в этой системе, а затем получали к ней доступ. Обновление в программу, закрывающую эту уязвимость, вышло еще в сентябре 2021 года.
И, по мнению экспертов по кибербезопасности, IT-сотрудники украинских ведомств могли просто вовремя не обновить программу до версии без этой уязвимости.
«Как понимаю, Ким получила номер CVE (международный идентификатор уязвимостей — ред.) от кого-либо, кто имеет отношение к расследованию инцидента. Думаю, достаточно вероятно, что речь идет именно об этой уязвимости. Ей уже много месяцев, и систему, судя по всему, просто никто не обновил. И не в одном месте, а во многих (в этом и беда)», — объяснил AIN.UA соучредитель «Украинского киберальянса», известный под ником Шон Таунсенд.
По его мнению, эта атака вероятно не будет иметь серьезных последствий: «Если это только дефейсы, и если это именно так, то повезло».
С такой трактовкой событий согласен и другой эксперт по кибербезопасности, захотевший остаться анонимным:
«Об уязвимости было известно еще с того года, а в министерствах, судя по всему, об этом не знали. Низкая квалификация просто не следили за последними версиями CMS. Один раз заплатили какой-то компании за установку и настройку софта, и на этом все закончилось. В любом случае, если атака была из-за нее, то это проблема самих министерств, а именно их сисадминов/девопсов, которые должны следить за обновлением безопасности таких систем».
Несколько независимых друг от друга киберэкспертов рассказали, что, похоже, проблема действительно в несвоевременном обновлении.
Источник: AIN.UA