"Отключитесь от Сети, смените пароли": рекомендации CERT-UA при взломе госсайтов

CERT-UA опубликовал рекомендации по предотвращению распространения кибератак на государственные информационные ресурсы.

Эксперты Computer Emergency Response Team of Ukraine (CERT-UA, команда реагирования на компьютерные чрезвычайные события Украины) при дефейсе интернет-ресурсов, работающих на October CMS, советует принять следующие меры:

1. Отключить доступ веб-сервера от сети Интернет.
2. Собрать и передать в CERT-UA для анализа следующие данные: лог-файлы доступа к веб-серверу, образ и/или копию файловой системы веб-сервера.
3. Восстановить веб-сервер из резервной копии. Если такая возможность отсутствует, необходимо восстановить стартовую страницу сайта: перейти по ссылке {ваш_домен}/backend/rainlab/blog/posts, найти вредоносный пост и удалить его.
4. Проверить наличие веб-шелов (нелегитимных фалов и скриптов) на веб-сервере (https://cert.gov.ua/files/pdf/CUA-14-06R.pdf).
5. Проверить наличие сторонних аккаунтов пользователей CMS и ОС веб-сервера и удалить нелегитимные, изменить пароли на всех других аккаунтах.
6. Заблокировать доступ к админ-панели CMS из сети Интернет.
7. Обновить OctoberCMS до последней версии (в версии 1.0.472, 1.1.5 уязвимость уже устранена). Включить сервер в продакшне.
8. Если сайт не сломан выполнить действия указанные в пунктах 4 – 7.

Что известно об уязвимости October CMS

Отметим, что на сайте cvedetails.com информация об уязвимости платформы October CMS — CVE-2021-32648, — была опубликована 26 августа 2021 года, а датой обновления информации является 1 сентября 2021 года.

"Злоумышленник может запросить сброс пароля учетной записи, а затем получить доступ к учетной записи с помощью специально созданного запроса. Проблема была исправлена ​​в сборке 472 и версии 1.1.5", — сказано в сообщении.

При оценивании уязвимости IT-эксперты использовали Common Vulnerability Scoring System (CVSS) — стандарт для расчета количественных оценок уязвимости в безопасности компьютерной системы. Он применяется для того, чтобы понять приоритет исправления уязвимости.

• Оценка CVSS — 6.4
• Влияние на конфиденциальность: частичное (существует значительное раскрытие информации).
• Воздействие на целостность: частичное (возможна модификация некоторых системных файлов или информации, но злоумышленник не имеет контроля над тем, что может быть изменено, или объем того, на что может повлиять злоумышленник, ограничен).
• Влияние доступности: нет (нет никакого влияния на доступность системы).
• Сложность доступа: низкий (специальных условий доступа или смягчающих обстоятельств нет. Для использования требуется очень мало знаний или навыков).
• Аутентификация: не требуется (для использования уязвимости не требуется аутентификация).

CERT-UA (Computer Emergency Response Team of Ukraine — команда реагирования на компьютерные чрезвычайные события Украины, — ред.) предоставила рекомендации во избежание распространения кибератак на сайты государственных органов.

Подобное сообщение есть и на github.com — тоже от 26 августа 2021 года.

"Злоумышленник может использовать эту уязвимость, чтобы обойти аутентификацию, используя специально созданный постоянный файл cookie", — говорится в сообщении.

• "Чтобы воспользоваться этой уязвимостью, злоумышленник должен получить секретный ключ Laravel для шифрования и подписи файлов cookie.
• Из-за логики работы этого механизма целевая учетная запись пользователя должна быть активной, пока злоумышленник использует уязвимость.
• Авторизация через постоянный файл cookie не отображается в журналах доступа", — поясняют на github.com.

Ранее мы сообщали о том, что бывший посол США в России, Майкл Макфол, выразил обеспокоенность хакерской атакой на государственные интернет-ресурсы Украины. Политик отметил, что опасается, что за взломом может стоять Кремль.

Также мы писали о том, что днем 14 января были взломаны еще три сайта.

Рекомендуем ознакомиться с мнением экспертов по кибербезопасности относительно того, кто может стоять за атаками на гос-веб-ресурсы Украины и какими могут быть последствия.