Naujienlaiškis | 2024 Gruodis

Mieli skaitytojai,

Dėkojame Jums už laiką, kurį šiemet praleidote skaitydami mūsų naujienlaiškį. Linkime, kad ateinantys 2025 metai atneštų Jums pačių geriausių naujienų ir sveikiname su artėjančiomis šventėmis. O kad jų laukimas neprailgtų - štai Jums šis bei tas apie kibernetinį saugumą 2024-aisiais. :)

KSEA komanda

---

2024 apžvalga: dažniausiai išnaudoti pažeidžiamumai ir didesnieji incidentai

Parengė

Jonas

Vaitkevičius

2024-ieji metai buvo kupini kibernetinio saugumo iššūkių - atakos tobulėjo ir sudėtingėjo, o taip pat atsirado naujų pažeidžiamumų, darančių įtaką organizacijoms visame pasaulyje. Tam tikri pažeidžiamumai išsiskyrė iš kitų dėl savo sudėtingumo ir plataus masto išnaudojimo - toliau apžvelgsime jų TOP dešimtuką.

Svarbiausi 2024 m. pažeidžiamumai (TOP 10)

1. CVE-2024-26169 („WerKernel.sys“ pažeidžiamumas): šis kritinis „Windows“ operacinės sistemos pažeidžiamumas leido užpuolikams apeiti autentifikavimą ir visiškai kontroliuoti paveiktas sistemas. Tai įvyko dėl to, kad „werkernel.sys“ tvarkyklė naudojo vadinamąjį „nulinį saugos deskriptorių“, o tai reiškia, kad nebuvo jokių apribojimų, kas gali naudotis šia tvarkykle, todėl bet kuris vartotojas galėjo manipuliuoti tvarkykle ir modifikuoti registro raktus, o tai gali sutrikdyti klaidų tvarkymą ir sistemos stabilumą. Užpuolikai išnaudojo šį pažeidžiamumą išpirkos reikalaujančių programų (ransomware) atakose, pabrėždami savalaikio pataisų diegimo (patching) ir sistemos stebėjimo svarbą. Šis pažeidžiamumas yra ištaisytas naujausiuose „Microsoft Windows“ atnaujinimuose.

2. CVE-2024-6387 („regreSSHion“): didelio kritiškumo pažeidžiamumas, iš naujo atrastas „OpenSSH“ servise (sshd), anksčiau pataisytas 2006 m. Šis pažeidžiamumas susijęs su tuo, kad tam tikri veiksmai serveryje vyksta netinkama tvarka, leidžiančia užpuolikui juos paveikti nuotoliniu būdu. Norint išnaudoti šį pažeidžiamumą, reikia tikslaus laiko ir kelių bandymų apeiti adresų erdvės išdėstymo atsitiktinumą (ASLR) – saugos mechanizmą, kuris atsitiktinai parenka atminties adresus, kad apsunkintų išnaudojimą. Nepaisant išnaudojimo sunkumų, jo kritiškumas ir platus „OpenSSH“ naudojimas kritinėse sistemose sukėlė didelį susirūpinimą organizacijoms. Šis pažeidžiamumas yra ištaisytas „OpenSSH“ 9.8p1 versijoje. Kaip laikiną sprendimą, administratoriai gali priverstinai atnaujinti, laikinai nustatydami prisijungimo laiką iki nulio (LoginGraceTime=0 byloje sshd_config).

3. CVE-2024-37085 (VMware ESXi trūkumas): šis „VMware ESXi“ hipervizorių pažeidžiamumas leido užpuolikams apeiti autentifikavimą per „Active Directory“ integraciją. Manipuliuodami AD grupės nustatymais, ypač atkurdami arba pervadindami grupę „ESXi Admins“, kenkėjai galėjo gauti visišką administratoriaus prieigą prie ESXi pagrindinių serverių. Šį trūkumą išnaudojo kelios išpirkos reikalaujančių programų (ransomware) grupės, tuo parodydamos, kad pažeidžiamumas tinkamas dideliai žalai padaryti ir virtualizuotų aplinkų apsaugos svarbą. „Broadcom VMware ESXi“ ir „Cloud Foundation“ klientai turėtų kuo greičiau atnaujinti į palaikomą pataisytą versiją. Administratoriai, kurie negali atnaujinti, turėtų laikinai įdiegti problemos sprendimo rekomendacijas.

4. CVE-2024-0204 (Fortra GoAnywhere MFT): šis kritinis autentifikavimo apėjimo pažeidžiamumas „Fortra“ GoAnywhere MFT sprendime sukėlė didelį pavojų organizacijoms, naudojančioms platformą bylų perdavimui. Užpuolikai galėjo išnaudoti šį trūkumą, kad gautų neteisėtą prieigą prie slaptų duomenų ir sistemų, o tai gali sukelti duomenų pažeidimus, neteisėtus pakeitimus ar kritinių verslo procesų sutrikdymą. Pažeidžiamumas pabrėžė saugios konfigūracijos ir prieigos kontrolės svarbą bylų perdavimo sprendimuose. Šis pažeidžiamumas yra ištaisytas „GoAnywhere MFT“ 7.4.1 versijoje. Jei negalite atnaujinti į pataisytą versiją, „Fortra“ siūlo du rankinio švelninimo būdus: 1) ištrinti failą InitialAccountSetup.xhtml diegimo kataloge ir paleisti paslaugas iš naujo; 2) pakeisti failą InitialAccountSetup.xhtml tuščiu failu ir paleisti paslaugas iš naujo.

5. CVE-2024-21887 (Ivanti Connect Secure ir Policy Secure Web): šis pažeidžiamumas leidžia nuotoliniu būdu vykdyti komandas Ivanti Connect Secure ir Policy Secure Web platformose. Užpuolikai gali išnaudoti šį pažeidžiamumą, norėdami gauti neteisėtą prieigą prie sistemų ir vykdyti kenkėjišką kodą. Pažeidžiamumas yra ištaisytas naujausiose Ivanti Connect Secure ir Policy Secure Web versijose.

6. CVE-2024-3400 (Palo Alto Networks PAN-OS): šis pažeidžiamumas leidžia nuotoliniu būdu vykdyti komandas Palo Alto Networks PAN-OS ugniasienėse. Užpuolikai gali išnaudoti šį pažeidžiamumą, norėdami gauti visišką paveiktų sistemų kontrolę. Pažeidžiamumas yra ištaisytas naujausiose PAN-OS versijose.

7. CVE-2024-1709 (ConnectWise ScreenConnect): šis pažeidžiamumas leidžia apeiti autentifikavimą ConnectWise ScreenConnect nuotolinio valdymo programinėje įrangoje. Užpuolikai gali išnaudoti šį pažeidžiamumą, norėdami gauti neteisėtą prieigą prie sistemų be prisijungimo duomenų. Pažeidžiamumas yra ištaisytas naujausiose ScreenConnect versijose.

8. CVE-2024-49112 (Windows LDAP nuotolinio kodo vykdymo pažeidžiamumas): šis kritinis pažeidžiamumas „Windows“ LDAP kliente leidžia nuotoliniu būdu vykdyti kodą. Turėdamas 9.8 CVSS pavojingumo balą, jis yra itin pavojingas. Neatentifikuotas užpuolikas gali potencialiai vykdyti savavališką kodą „Active Directory“ serveryje, siųsdamas specialiai paruoštus LDAP iškvietimus. „Active Directory“ yra daugelio įmonių tinklų pagrindas, todėl sėkmingas išnaudojimas gali turėti pražūtingų pasekmių, suteikdamas užpuolikams plačią prieigą. Šis CVE buvo atskleistas ir sulaukė dėmesio 2024 m. pabaigoje, todėl yra aktuali grėsmė.

9. CVE-2024-38018 (Microsoft SharePoint Server nuotolinio kodo vykdymo pažeidžiamumas): tai nuotolinio kodo vykdymo pažeidžiamumas „Microsoft SharePoint Server“ serveryje. „SharePoint“ yra plačiai naudojamas organizacijose dokumentų valdymui ir bendradarbiavimui. Sėkmingas išnaudojimas gali leisti užpuolikams gauti prieigą prie slaptos informacijos, modifikuoti dokumentus arba sutrikdyti verslo operacijas. Šis CVE buvo dažnai aptariamas internete ir nors išleisti jo taisomai, grėsmė taisymų neįdiegusioms organizacijoms, naudojančioms „SharePoint“, išlieka didelė.

10. CVE-2024-20353 ir CVE-2024-20359 (Cisco IOS XE programinės įrangos žiniatinklio vartotojo sąsajos nuotolinio kodo vykdymo pažeidžiamumai): šie CVE veikia „Cisco IOS XE“ programinės įrangos žiniatinklio vartotojo sąsają ir gali sukelti nuotolinį kodo vykdymą. „Cisco“ tinklo įranga yra daugelio tinklų pagrindas, o šie pažeidžiamumai buvo susiję su aktyviu grėsmių veikėjų, tokių kaip UAT4356 (Storm-1849), išnaudojimu. Tai rodo didelę realių atakų riziką. Šie pažeidžiamumai buvo aktyviai išnaudojami 2024 m., todėl ir toliau sudaro didelę grėsmę organizacijoms, naudojančioms paveiktus ir neištaisytus „Cisco“ įrenginius.

Pagrindiniai (didesnieji) saugumo incidentai ir išnaudoti pažeidžiamumai

1. „Snowflake“ duomenų pažeidimas (2024 m. birželio mėn.): APT veikėjas, įvardinamas kaip kaip UNC5537, vogė informaciją iš „Snowflake“ klientų naudodamas pavogtus prisijungimo duomenis. Dėl to įvyko didelis duomenų pažeidimas, turintis įtakos daugeliui organizacijų, įskaitant „Ticketmaster“ patronuojančiąją bendrovę „Live Nation“. Pranešama, kad pavogti duomenys buvo naudojami turtui prievartauti ir parduoti kibernetinių nusikaltimų forumuose. Nukentėjusios organizacijos yra „Live Nation“ ir „Ticketmaster“ (paveikta 560 mln. klientų) ir „Santander“. Svarbu pažymėti, kad šiuo atveju kelias neteisėtam prisijungimui prie Snowflake sistemų būtų užkirstas jei įmonė naudotų dviejų faktorių autentifikavimą.

2. „LoanDepot“ išpirkos reikalaujančių programų ataka (2024 m. sausio mėn.): vienas didžiausių mažmeninės prekybos hipotekos skolintojų JAV „LoanDepot“ patyrė išpirkos reikalaujančių programų ataką, dėl kurios buvo pavogta beveik 17 milijonų klientų asmeninė informacija. Šis incidentas pabrėžė finansinę ir reputacinę žalą, kurią gali padaryti išpirkos reikalaujančių programų atakos, pabrėžiant patikimų duomenų atsarginių kopijų kūrimo ir atkūrimo strategijų poreikį. „LoanDepot“ atakos padariniai įvertinti 26,9 mln. JAV dolerių, kurie buvo skirti sistemų atkūrimui, klientų informavimui, susitarimui su ieškovais ir teisinėms paslaugoms.

3. „Change Healthcare“ išpirkos reikalaujančių programų ataka (2024 m. vasario mėn.): išpirkos reikalaujančių programų ataka prieš sveikatos priežiūros mokėjimų teikėją „Change Healthcare“ sukėlė daug sveikatos priežiūros paslaugų teikimo sutrikimų visoje JAV. Užpuolikai, ALPHV/BlackCat gauja, sėkmingai išsireikalavo 22 mln. JAV dolerių išpirką, tai parodo didėjantį kibernetinių nusikaltėlių godumą ir finansinę motyvaciją. Ataka paveikė apie 100 mln. asmenų. Šis incidentas pabrėžė kibernetinio saugumo svarbą sveikatos priežiūros sektoriuje ir būtinybę imtis aktyvių priemonių, kad būtų išvengta išpirkos reikalaujančių programų atakų, bei jos būtų sušvelnintos.

4. „MediSecure“ išpirkos reikalaujančių programų ataka (2024 m. gegužės mėn.): išpirkos reikalaujančių programų ataka prieš Australijos medicininių receptų teikėją „MediSecure“ padarė poveikį 12,9 mln. asmenų, paviešinant jų asmeninę ir sveikatos informaciją. Šis incidentas pabrėžė sveikatos priežiūros duomenų pažeidžiamumą ir galimas jų atskleidimo pasekmes, įskaitant tapatybės vagystę, finansinį sukčiavimą ir privatumo pažeidimus. Dėl atakos bendrovė 2024 m. birželio mėn. pradėjo savanorišką administravimą (tai yra teisinė procedūra, kai įmonė, susidūrusi su finansiniais sunkumais, perduoda savo valdymą nepriklausomam administratoriui).

5. „Synnovis“ išpirkos reikalaujančių programų ataka (2024 m. birželio mėn.): išpirkos reikalaujančių programų ataka prieš „Synnovis“, svarbų patologijos paslaugų teikėją Didžiosios Britanijos NHS ligoninėms, lėmė tūkstančių operacijų ir susitikimų atšaukimą. Užpuolikai eksfiltravo 400 GB duomenų, įskaitant pacientų vardus, NHS numerius ir kraujo tyrimų aprašymus, sutrikdydami sveikatos priežiūros paslaugas ir pažeisdami pacientų privatumą. Šis incidentas pabrėžė sveikatos priežiūros sistemų tarpusavio ryšį ir galimą kaskadinį atakų prieš svarbius tiekėjus poveikį. Incidentas smarkiai paveikė gyvybiškai svarbių sveikatos priežiūros paslaugų teikimą King's College ligoninės, NHS fonde ir Guy's and St Thomas' NHS fonde.

6. „Ivanti“ pažeidžiamumai (2024 m. sausio mėn.): „Ivanti“ produktuose, naudojamuose įvairiuose sektoriuose, įskaitant vyriausybę, kariuomenę, telekomunikacijas ir finansus, buvo aptikti du nulinės dienos pažeidžiamumai (CVE-2023-46805 ir CVE-2024-21887). Kinijos valstybės remiami grėsmės veikėjai aktyviai išnaudojo šiuos pažeidžiamumus, todėl JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) išleido skubią direktyvą, reikalaujančią federalinėms agentūroms nedelsiant išjungti paveiktas sistemas. Šis incidentas pabrėžė su programinės įrangos pažeidžiamumais susijusią riziką ir savalaikio pataisų diegimo bei pažeidžiamumų valdymo svarbą.

7. Kolumbo miesto išpirkos reikalaujančių programų ataka (2024 m. liepos mėn.): Kolumbo miestą, Ohajo valstiją, užpuolė išpirkos reikalaujančių programų ataka, kuri paveikė gyventojams skirtas IT paslaugas. „Rhysida“ išpirkos reikalaujančių programų grupė eksfiltravo 3,1 terabaito asmens ir slaptų duomenų, įskaitant socialinio draudimo numerius, banko sąskaitos duomenis ir vairuotojo pažymėjimo informaciją. Ši ataka parodė didėjančią išpirkos reikalaujančių programų grėsmę viešojo sektoriaus organizacijoms ir galimą didelį esminių paslaugų sutrikdymą. Nukentėjo daugiau kaip 500 tūkstančių žmonių, kurių asmens duomenys buvo nutekinti.

8. Sietlo uosto kibernetinė ataka (2024 m. rugpjūčio mėn.): „Rhysida“ gaujos išpirkos reikalaujančių programų ataka prieš Sietlo uostą sukėlė didelių kelionių ir operacijų sutrikimų Sietlo jūrų uoste ir Sietlo-Tacomos tarptautiniame oro uoste. Šis incidentas pabrėžė kritinės infrastruktūros pažeidžiamumą kibernetinėms atakoms ir galimas dideles ekonomines ir logistines pasekmes. Dėl atakos rugpjūčio 24 d. nutrūko IT paslaugos, neveikė svarbios svetainės.

9. Kinijos šnipinėjimo kampanija (2024 m. sausio ir lapkričio mėn.): Kinijos šnipinėjimo kampanija, priskiriama „Salt Typhoon“ grėsmės veikėjui, įsilaužė į JAV vyriausybės pareigūnų sistemas ir pavogė duomenis bei taikėsi į pagrindinius telekomunikacijų teikėjus, įskaitant „T-Mobile“, „Verizon“, AT&T ir „Lumen Technologies“. Užpuolikai pavogė klientų skambučių įrašus ir perėmė privačius ryšius, sukeldami susirūpinimą dėl nacionalinio saugumo ir telekomunikacijų infrastruktūros pažeidžiamumo. Vienos „Volt Typhoon“ kampanijos metu 2024 m. sausio mėn. buvo infiltruoti JAV kritinės infrastruktūros tinklai. „Salt Typhoon“ ataka buvo atskleista 2024 m. lapkričio mėn.

10. JK kariuomenės duomenų pažeidimas (2024 m. gegužės mėn.): įsilaužėliai sugebėjo infiltruotis į JK gynybos ministerijos darbo užmokesčio sistemą ir pavogti slaptą 270 000 esamų ir buvusių kariškių asmeninę informaciją.

11. „Dell“ duomenų pažeidimas (2024 m. gegužės ir rugsėjo mėn.): „Dell“ 2024 m. patyrė tris atskirus duomenų pažeidimus. Gegužės mėnesį nutekėjo apie 49 mln. klientų, pirkusių internetu, duomenų (vardai, adresai, užsakymų informacija). Rugsėjį buvo pažeistas partnerių portalas, atskleidžiant partnerių kontaktinius ir įmonių duomenis. Be to, pranešta apie trečią, „Dell“ oficialiai nepatvirtintą incidentą, susijusį su slaptažodžių tvarkykle. Šie incidentai rodo rimtas „Dell“ kibernetinio saugumo problemas.

12. „Transport for London“ kibernetinė ataka (2024 m. birželio mėn.): „Transport for London“ (TfL) patyrė kibernetinę ataką, kurios metu buvo pasiekti klientų duomenys. Galėjo būti pavogti apie 5000 klientų adresai ir mokėjimo kortelių duomenys.

2024-ieji buvo sudėtingi kibernetinio saugumo metai. Nenustebinsime: visi aptarti įvykiai darsyk pabrėžia patikimos saugumo praktikos, aktyvaus pažeidžiamumų valdymo ir nuolatinio stebėjimo svarbą siekiant sušvelninti besikeičiančią grėsmių aplinką.

Pasikartojanti 2024 m. tema buvo autentifikavimo apėjimo pažeidžiamumų paplitimas, kaip matyti CVE-2024-26169, CVE-2024-37085 ir CVE-2024-0204. Šie pažeidžiamumai leido užpuolikams gauti neteisėtą prieigą prie sistemų ir duomenų, pabrėždami stiprių autentifikavimo mechanizmų, tokių kaip daugiafaktoris autentifikavimas, ir reguliarių saugumo vertinimų poreikį, siekiant nustatyti ir pašalinti galimas silpnąsias vietas ².

Išpirkos reikalaujančių programų atakos ir toliau buvo didelė grėsmė 2024 m., turinti įtakos įvairių sektorių, įskaitant sveikatos priežiūrą, finansus ir vyriausybę, organizacijoms. Tokie incidentai kaip „LoanDepot“, „Change Healthcare“, „MediSecure“, „Synnovis“ ir Kolumbo miesto atakos parodė niokojančias finansines ir veiklos pasekmes, kurias sukelia išpirkos reikalaujančios programos. Didėjantis grėsmės veikėjų, tokių kaip ALPHV/BlackCat gauja ir „Rhysida“ grupė, rafinuotumas pabrėžia organizacijų poreikį teikti pirmenybę išpirkos reikalaujančių programų prevencijos ir švelninimo strategijoms, įskaitant duomenų atsargines kopijas, incidentų reagavimo planavimą ir saugumo sąmoningumo mokymus.

Be to, Kinijos šnipinėjimo kampanija, nukreipta į JAV vyriausybės pareigūnus ir telekomunikacijų teikėjus, pabrėžė nuolatinę valstybės remiamų veikėjų grėsmę ir patikimų kibernetinio saugumo priemonių svarbą siekiant apsaugoti kritinę infrastruktūrą ir slaptus duomenis.

Siekdamos pagerinti savo saugumo poziciją, atsižvelgdamos į 2024 m. pastebėtas tendencijas, organizacijos turėtų:

• Teikti pirmenybę pažeidžiamumų valdymui: įdiegti išsamią pažeidžiamumų valdymo programą, apimančią reguliarų nuskaitymą, pataisų diegimą ir nustatytų pažeidžiamumų šalinimą.

• Sustiprinti autentifikavimą: įgyvendinti stiprius slaptažodžius, įdiegti dviejų faktorių autentifikavimą ir reguliariai peržiūrėti bei atnaujinti prieigos kontrolę.

• Didinti darbuotojų atidumą ir žinias saugumo srityje: reguliariai vesti saugumo mokymus, kad darbuotojai būtų informuoti apie dažniausiai pasitaikančias grėsmes, tokias kaip sukčiavimas apsimetant ir socialinė inžinerija, ir geriausią praktiką, kaip apsaugoti slaptus duomenis.

• Parengti incidentų reagavimo planą: sukurti aiškų reagavimo į indicentus planą, kad būtų užtikrintas greitas ir koordinuotas reagavimas į saugumo incidentus.

• Investuoti į grėsmių žvalgybą: būti informuotiems apie naujausias grėsmes ir pažeidžiamumus, prenumeruojant grėsmių žvalgybos kanalus ir bendradarbiaujant su darbo srities kolegomis.

Imdamosi šių aktyvių veiksmų, organizacijos gali sustiprinti savo gynybą ir geriau apsisaugoti nuo besikeičiančių kibernetinio saugumo grėsmių ateinančiais metais. Jei šiuo metu kibernetiniu saugumu rūpinatės Lietuvoje, jums gali praversti ir šis straipsnis: https://kajus.io/posts/viskas-ka-reikia-zinoti-apie-kibernetini-sauguma-lietuvoje/