"Отключитесь от Сети, смените пароли": рекомендации CERT-UA при взломе госсайтов

кибербезопасность, Интернет, пароль

Команда реагирования на компьютерные чрезвычайные события Украины посоветовала принять ряд мер владельцам сайтов госучреждений, чтобы устранить уязвимость в October CMS, о которой было известно еще несколько месяцев назад.

CERT-UA опубликовал рекомендации по предотвращению распространения кибератак на государственные информационные ресурсы.

Эксперты Computer Emergency Response Team of Ukraine (CERT-UA, команда реагирования на компьютерные чрезвычайные события Украины) при дефейсе интернет-ресурсов, работающих на October CMS, советует принять следующие меры:

  1. Отключить доступ веб-сервера от сети Интернет.
  2. Собрать и передать в CERT-UA для анализа следующие данные: лог-файлы доступа к веб-серверу, образ и/или копию файловой системы веб-сервера.
  3. Восстановить веб-сервер из резервной копии. Если такая возможность отсутствует, необходимо восстановить стартовую страницу сайта: перейти по ссылке {ваш_домен}/backend/rainlab/blog/posts, найти вредоносный пост и удалить его.
  4. Проверить наличие веб-шелов (нелегитимных фалов и скриптов) на веб-сервере (https://cert.gov.ua/files/pdf/CUA-14-06R.pdf).
  5. Проверить наличие сторонних аккаунтов пользователей CMS и ОС веб-сервера и удалить нелегитимные, изменить пароли на всех других аккаунтах.
  6. Заблокировать доступ к админ-панели CMS из сети Интернет.
  7. Обновить OctoberCMS до последней версии (в версии 1.0.472, 1.1.5 уязвимость уже устранена). Включить сервер в продакшне.
  8. Если сайт не сломан выполнить действия указанные в пунктах 4 – 7.

Что известно об уязвимости October CMS

Отметим, что на сайте cvedetails.com информация об уязвимости платформы October CMS — CVE-2021-32648, — была опубликована 26 августа 2021 года, а датой обновления информации является 1 сентября 2021 года.

"Злоумышленник может запросить сброс пароля учетной записи, а затем получить доступ к учетной записи с помощью специально созданного запроса. Проблема была исправлена ​​в сборке 472 и версии 1.1.5", — сказано в сообщении.

При оценивании уязвимости IT-эксперты использовали Common Vulnerability Scoring System (CVSS) — стандарт для расчета количественных оценок уязвимости в безопасности компьютерной системы. Он применяется для того, чтобы понять приоритет исправления уязвимости.

  • Оценка CVSS — 6.4
  • Влияние на конфиденциальность: частичное (существует значительное раскрытие информации).
  • Воздействие на целостность: частичное (возможна модификация некоторых системных файлов или информации, но злоумышленник не имеет контроля над тем, что может быть изменено, или объем того, на что может повлиять злоумышленник, ограничен).
  • Влияние доступности: нет (нет никакого влияния на доступность системы).
  • Сложность доступа: низкий (специальных условий доступа или смягчающих обстоятельств нет. Для использования требуется очень мало знаний или навыков).
  • Аутентификация: не требуется (для использования уязвимости не требуется аутентификация).
уязвимость, October CMS, госсайты
Сообщение cvedetails.com об уязвимости October CMS, которой пользовались владельцы украинских госсайтов

CERT-UA (Computer Emergency Response Team of Ukraine — команда реагирования на компьютерные чрезвычайные события Украины, — ред.) предоставила рекомендации во избежание распространения кибератак на сайты государственных органов.

Подобное сообщение есть и на github.com — тоже от 26 августа 2021 года.

"Злоумышленник может использовать эту уязвимость, чтобы обойти аутентификацию, используя специально созданный постоянный файл cookie", — говорится в сообщении.

  • "Чтобы воспользоваться этой уязвимостью, злоумышленник должен получить секретный ключ Laravel для шифрования и подписи файлов cookie.
  • Из-за логики работы этого механизма целевая учетная запись пользователя должна быть активной, пока злоумышленник использует уязвимость.
  • Авторизация через постоянный файл cookie не отображается в журналах доступа", — поясняют на github.com.
October CMS,  github
Сообщение github.com об уязвимости October CMS
Фото: Скриншот

Ранее мы сообщали о том, что бывший посол США в России, Майкл Макфол, выразил обеспокоенность хакерской атакой на государственные интернет-ресурсы Украины. Политик отметил, что опасается, что за взломом может стоять Кремль.

Также мы писали о том, что днем 14 января были взломаны еще три сайта.

Рекомендуем ознакомиться с мнением экспертов по кибербезопасности относительно того, кто может стоять за атаками на гос-веб-ресурсы Украины и какими могут быть последствия.