Tuhanded serverid võivad puutuda kokku SharePointi haavatavusega CVE-2019-0604, mida hiljuti kasutati Lähis-Ida valitsuse sihtmärkide vastu suunatud küberrünnakutes.
Teadlased on tuvastanud mitu küberründajat, kes kasutavad Lähis-Ida valitsusasutuste sihtimiseks SharePointi haavatavust CVE-2019-0604. Need tähistavad viimaseid juhtumeid, kus vastased kasutasid ära viga, mida hiljuti kasutati ÜRO rikkumiseks.
CVE-2019-0604 eksisteerib, kui SharePoint ei suuda kontrollida rakendusepaketi allika märgistust. Ründajad saavad seda ära kasutada, laadides mõjutatud tarkvaraversiooni üles spetsiaalselt koostatud SharePointi rakenduspaketi. Edu korral võivad nad nii SharePointi rakenduste kogumi kui ka SharePointi serverifarmi konto kontekstis suvalise koodi käitada.
Microsoft andis haavatavuse jaoks välja paiga 2019. aasta veebruaris ja hiljem värskendas selle parandust aprillis. Varsti pärast seda ilmusid aruanded, mis viitasid koodi kaugkäitamise veale aktiivne rünnak. Mitmed juhtumid kasutasid China Chopperi veebikestat, et sihtmärki siseneda; tõendid näitavad, et ründajad kasutasid mitme organisatsiooni võrgule juurdepääsu saamiseks veebikesta.
Palo Alto Networksi üksuse 42 uued leiud näitavad, et haavatavus on ründajate seas endiselt populaarne. 2019. aasta septembris avastasid teadlased tundmatud ohustajad, kes kasutasid viga ära, et paigaldada Lähis-Ida valitsusorganisatsiooni veebisaidile mitu veebikest. Üks neist oli AntSword, GitHubis vabalt saadaval olev veebikest, mis meenutab China Chopperit.
Ründajad kasutasid neid veebikesta külgsuunas üle võrgu liikumiseks, et pääseda juurde teistele süsteemidele, selgitab küberohtude luureanalüütik Robert Falcone blogi postitus leidude kohta. Nad kasutasid kohandatud Mimikatzi varianti mandaatide mälust väljavõtmiseks ja Impacketi atexeci tööriista, et kasutada kustutatud mandaate käskude käitamiseks teistes süsteemides kogu võrgus.
Hiljem septembris nägi üksus 42 sama Mimikatzi varianti üles laadituna teise Lähis-Ida riigi teises valitsusorganisatsioonis hostitud veebikesta. See variant on ainulaadne, kirjutab Falcone, kuna sellel on väidetavalt .NET-is kirjutatud kohandatud laadimisrakendus. Seetõttu usuvad teadlased, et mõlema valitsusorganisatsiooni rikkumiste taga on sama rühm.
See pole esimene kord, kui üksus 42 näeb CVE-2019-0604 kasutamist valitsuse sihtmärkide vastu Lähis-Idas. 2019. aasta aprillis uurijad nägid Emissary Panda ohurühm kasutab seda viga ära, et installida SharePointi serveritesse veebikestad kahe Lähis-Ida riigi valitsusasutustes, mis mõlemad erinevad jaanuarikuu rünnakute sihtmärgiks olnud riikidest. Peale ühise haavatavuse, sarnase tööriistakomplekti ja valitsuse ohvrid ei ole neid kahte siduvaid tugevaid sidemeid.
"Selle haavatavuse ärakasutamine ei ole Emissary Panda jaoks ainulaadne, kuna mitmed ohurühmad kasutavad seda haavatavust SharePointi serverite ärakasutamiseks, et saada esmane juurdepääs sihitud võrkudele," kirjutab Falcone. AntSwordi kasutamine võib kattuda, kuna emissar Panda kasutas China Chopperit ja need kaks on "uskumatult sarnased", selgitab ta, kuid teadlased ei usu praegu, et 2019. aasta aprilli rünnakute taga olevad ründajad kasutasid AntSwordi.
CVE-2019-0604 ilmus a hiljutine rünnak ÜRO vastu, mille käigus sissetungijad kompromiteerisid servereid ÜRO Genfis ja Viinis asuvates kontorites. Ründajad pääsesid ligi Active Directoriesile, ohustades tõenäoliselt inimressursse ja võrguandmeid. Pole täpselt teada, millised failid rikkumise käigus varastati. Ühe ÜRO IT-ametniku hinnangul laaditi alla umbes 400 GB faile.
2020. aasta jaanuari alguses kasutasid üksuse 42 teadlased Shodani Interneti-juurdepääsetavate serverite otsimiseks, kus töötavad SharePointi versioonid, mis on kokku puutunud CVE-2019-0604-ga. Nende leiud näitasid, et 28,881 XNUMX serverit reklaamis tarkvara haavatavat versiooni. Nad ei kontrollinud iga serverit, et kontrollida selle kokkupuudet, seega on võimalik, et paljud avalikud serverid ei ole avatud või on paigatud.
"Sellele vaatamata viitab tohutu serverite arv ja avalikult saadaval olev kasutuskood, et CVE-2019-0604 on endiselt suur rünnakute vektor," kirjutab Falcone.
Seotud sisu:
Kelly Sheridan on Dark Readingi personalitoimetaja, kus ta keskendub küberturvalisuse uudistele ja analüüsidele. Ta on äritehnoloogia ajakirjanik, kes on varem andnud teavet ajakirjale InformationWeek, kus ta kajastas Microsofti, ja kindlustust ja tehnoloogiat, kus ta käsitles finants… Vaata täispikka biograafiat
Rohkem teadmisi
