W 2023 roku zanotowano wzrost liczby nowych luk w zabezpieczeniach oprogramowania oraz urządzeń sieciowych. Stanowi to istotne wyzwanie dla bezpieczeństwa użytkowników w internecie. Zespół CERT Polska aktywnie monitoruje podatności, aby w miarę możliwości zapobiegać działaniu cyberprzestępców.
Szczególną uwagę należy zwrócić na statystyki Agencji ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA), które umożliwiają dokładniejszą ocenę aktualnego krajobrazu zagrożeń. Na koniec 2023 roku aktywnie wykorzystywanych było 1074 różnych podatności, z czego 137 opublikowano w tym samym roku. Dla porównania, w roku 2022 było ich odpowiednio 868 i 92.
Zespół CERT Polska zaleca szczególnie administratorom sieci i kierownikom jednostek ciągłe śledzenie komunikatów bezpieczeństwa, które publikowane są przez producentów posiadanego oprogramowania, a także priorytetowe wykonywanie aktualizacji podatnych systemów w celu zapewnienia bezpieczeństwa organizacji.
Ważne jest bezustanne monitorowanie infrastruktury pod względem występujących anomalii, które mogłyby świadczyć o tym, że jest ona przedmiotem ataku. Ignorowanie zagrożeń związanych z krytycznymi podatnościami może skutkować incydentami bezpieczeństwa, takimi jak ataki ransomware lub wycieki danych krytycznych.
Podatności o kluczowym znaczeniu
Microsoft Outlook (CVE-2023-23397)
Krytyczna podatność w aplikacji Outlook w systemie Windows mogła prowadzić do zdalnego przejęcia hasła domenowego bez interakcji użytkownika. Do ataku wystarczało otrzymanie przez ofiarę wiadomości e-mail zawierającej odpowiednio spreparowane wydarzenie kalendarza albo zadanie, które powodowało odwołanie do ścieżki UNC kontrolowanej przez atakującego. Podatność pozwalała na przechwycenie skrótu NTLMv2 i późniejszą próbę odzyskania hasła domenowego poprzez atak siłowy. W sytuacji, gdy atakujący miał dostęp do sieci ofiary, możliwym było również bezpośrednie wykorzystanie skrótu NTLMv2 do zalogowania w innych usługach bez potrzeby łamania, tzw. NTLM relay. W związku z tą podatnością zespół CERT Polska wysłał 4075 ostrzeżeń do różnych organizacji.
Fortigate SSL-VPN (CVE-2023-27997)
Podatność w urządzeniach Fortigate z systemem FortiOS to luka związana z przepełnieniem bufora sterty w module wstępnego uwierzytelniania usługi SSL-VPN. Jej wykorzystanie pozwalało na przepełnienie nadmiaru danych z zaalokowanego bloku pamięci do sąsiednich bloków na stercie, tym samym umożliwiając wykonanie dowolnego złośliwego kodu, nawet w przypadku, kiedy włączone było uwierzytelnianie dwuskładnikowe. Podatność została opublikowana 12 czerwca, a już 14 czerwca publicznie dostępne były exploity pozwalające na jej wykorzystanie, co zwiększało ryzyko wzmożonych ataków ransomware. Zespół CERT Polska wykrył 218 instancji usług SSL-VPN urządzeń Fortigate z systemem FortiOS w polskiej adresacji, które były podatne na CVE-2023-27997. W związku z tym wysłano 128 powiadomień do różnych organizacji.
Cisco IOS XE (CVE-2023-20198)
Podatność dotyczyła funkcjonalności Web User Interface w oprogramowaniu Cisco IOS XE, stosowanej do zarządzania systemem, opartym na graficznym interfejsie użytkownika. Atakujący miał możliwość utworzenia nowego konta administratora z poziomu interfejsu użytkownika, bez konieczności autoryzacji. Konto to służyło do utworzenia implantu zawierającego plik konfiguracyjny cisco_service.conf. Aby implant stał się aktywny, serwer sieciowy musiał zostać ponownie uruchomiony. Sam punkt końcowy przyjmował określone parametry, które umożliwiały atakującemu wykonanie dowolnych poleceń na poziomie systemu. Zespół CERT Polska znalazł 492 instancje Cisco IOS XE w polskiej adresacji, które były podatne na CVE-2023-20198. W związku z tym wysłano 106 powiadomień do różnych organizacji.
Wycieki danych a bezpieczeństwo
Wycieki danych, czy to z powodu ataków hakerskich, nieszczelności systemów, czy po prostu nieostrożności, stały się częstym zjawiskiem. Oto kilka ważnych kwestii dotyczących tego zagadnienia:
- Źródła wycieków danych
Wycieki danych mogą mieć różne źródła. Mogą wynikać z cyberataków, takich jak ataki hakerskie na bazy danych lub sieci korporacyjne. Mogą również wynikać z niezabezpieczonych serwerów, nieszczelności oprogramowania lub ludzkiej pomyłki, np. przekazania poufnych informacji osobie trzeciej. - Typy danych podatnych na wyciek
Wycieki danych mogą obejmować różne typy informacji, od danych osobowych, takich jak imiona, nazwiska, numery identyfikacyjne, po dane finansowe, medyczne, a nawet dane związane z działalnością biznesową. - Konsekwencje dla osób i firm
Wycieki danych mogą mieć poważne konsekwencje dla osób fizycznych i firm. Dla osób prywatnych może to oznaczać kradzież tożsamości, oszustwa finansowe lub inne formy nadużyć. Dla firm może to prowadzić do utraty zaufania klientów, sankcji prawnych, a nawet bankructwa. - Zabezpieczenia przed wyciekami danych
Istnieje wiele sposobów zabezpieczania się przed wyciekami danych, w tym stosowanie silnych haseł, szyfrowanie danych, regularne aktualizacje oprogramowania, przeszkolenie personelu w zakresie bezpieczeństwa cyfrowego oraz monitorowanie aktywności sieciowej w celu wykrywania potencjalnych incydentów.
W przypadku zauważenia zagrożenia ważne jest szybkie reagowanie i podejmowanie odpowiednich środków zaradczych w celu minimalizacji szkód oraz ochrony prywatności i bezpieczeństwa osób dotkniętych incydentem. Organizacje powinny również regularnie przeprowadzać audyty bezpieczeństwa i aktualizować swoje procedury w celu zapobiegania przyszłym wyciekom danych.
Czytaj także:
Projekt MdS wdraża wymagania dyrektyw NIS2 u operatorów – ISPortal
