Сајбер одговорна организација


ЗАСТАНИ | РАЗМИСЛИ | ПОВРЗИ СЕ

Нови ранливости zero-days на Microsoft Exchange

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Актерите за закани ги искористуваат сè уште необјавените грешки zero-days на Microsoft Exchange што овозможуваат далечинско извршување на кодот, според тврдењата на безбедносните истражувачи во виетнамската компанија за сајбер безбедност GTSC, кои први ги забележале и пријавиле нападите.

Напаѓачите го поврзуваат парот zero-days за да ги распоредат Кинеските Chopper web shells на компромитирани сервери за упорност и кражба на податоци, како и странично преместување на други системи на мрежите на жртвите.

„Ранливоста се испостави дека е толку критична што му дозволува на напаѓачот да направи RCE на компромитиран систем“, велат истражувачите.

Искористувањето работи во две фази:

  1. Барање со сличен формат на ProxyShell ранливостautodiscover/autodiscover.json?@evil.com/<Exchange-backend-endpoint>&Email=autodiscover/autodiscover.json%3f@evil.com.
  2. Употреба на врската погоре за пристап до компонента во задниот дел каде што RCE може да се имплементира.

“Бројот на верзијата на овие сервери на Exchange покажа дека последното ажурирање е веќе инсталирано, така што експлоатацијата со користење на ранливоста на Proxyshell беше невозможна“, велат истражувачите.

MKD-CIRT ги дава следните препораки за привремено ублажување:

Сè додека Мајкрософт не објави безбедносни ажурирања за решавање на двата zero-days, привремено ублажување што би ги блокирало обидите за напад со додавање на ново правило за серверот IIS користејќи го модулот за повторно запишување на URL-то:

  1. Во Autodiscover на FrontEnd, изберете го табот URL Rewrite, а потоа побарајте блокирање.
  2. Add string “.*autodiscover\.json.*\@.*Powershell.*“ до патеката за URL.
  3. Влезна состојба: Изберете {REQUEST_URI}

Препорачуваме сите организации/претпријатија кои користат Microsoft Exchange Server да го проверат, прегледаат и применат горенаведениот привремен лек што е можно поскоро за да се избегнат потенцијални сериозни штети.

Администраторите кои сакаат да проверат дали нивните сервери на Exchange се веќе компромитирани со користење на овој експлоат може да ја извршат следнава команда на PowerShell за да ги скенираат датотеките за евиденција на IIS за индикатори на потенцијални злонамерни активности:

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200’

Извор: BleepingComputer

CISA и FBI објавија заедничко соопштение – Иранските државни актери спроведуваат сајбер операции против Владата на Албанија

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Во врска со сајбер нападите во Албанија, објавено е заедничко соопштение од Федералното биро за истраги (ФБИ) и Агенцијата за сајбер безбедност и инфраструктурна безбедност (CISA)  од САД, со анализа за случувањата, атрибуција на нападот кон криминални групи спонзорирани од странски држави и совети за подобрување на безбедноста кај организациите базирани на идентификувани ранливости во системите кои биле искористени.

Во насока за подобро информирање и заштита на организациите, Ви препорачуваме да имплементирате мерки за заштита на организациските системи дадени во соопштението на следниот линк: https://mkd-cirt.mk/soopshtenie/

MKD-CIRT им препорачува на организациите покрај мерките наведени во претходното сооштение, да ги проверат ранливостите наведени во соопштението од CISA и FBI кои биле зоупотребени при нападите во Албанија. Препорачуваме организациите најитно да ги имплементираат предложените мерки за митигација во случај ако се ранливи на слабости наведени во тоа соопштение.

Линк кон советодавната информација (соопштението) на FBI и CISA: https://www.cisa.gov/uscert/ncas/alerts/aa22-264a

Соопштение

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Во врска со зачестените сајбер-напади во државата и регионаот, Агенцијата за електронски комуникации и Националниот центар за одговор на компјутерски инциденти MKD-CIRT препорачуваат организациите од јавниот, владиниот и приватниот сектор да извршат безбедносна процена на своите ИКТ системи и услуги и да имплементираат и применуваат превентивни мерки  и процедури за заштита од сајбер напади и инциденти.
Најважна работа за организациите e да се погрижат да се воспостават основите на сајбер безбедност за да се заштитат нивните вработени, корисници на услуги, информации, уреди, мрежи и системи. Во продолжение се наведени активности кои имаат за цел организацијата  да се осигура дека основните контроли за сајбер хигиена и безбедност се поставени и истите правилно функционираат.

Препорачуваме следните активности да се високо-приоритетни за секоја организација, и во најкраток рок истите да ги имплементира:

  • Навремено ажурирање на системски и апликациски софтвер и хардвер со последни јавно достапни верзии од производителите
  • Проверка и ревизија на пристапот, преку повремена промена на лозинки, воведување на најава со повеќе фактори, ограничено користење на сметки со администраторски пристап и евиденција на активностите во дневници/Logfiles
  • Проверка на мерките за одбрана, преку навремено ажуриран и активен антивирусен софтвер на сите уреди и системи, и со периодично тестирање на правилата за интернет сообраќај поставени на огнениот ѕид/Firewall
  • Надзор и евиденција на пристап и кориснички активности, преку запишување на секоја активност во дневници / Log files, и алармирање за невообичаени активности
  • Тестирање и ревизија на политиките за бекап и валидација за исправен бекап, со проверка дали политиките и процедурите за снимање на заштитена копија од важните податоци одговараат на потребите на организацијата, како и проверка на снимени копии од податоци со нивно „враќање“ – за да знае организацијата дека снимените податоци се во ред.
  • План за одговор на инциденти, со идентификувано лице на кое вработените треба му да пријавуваат сомнителни активности и кое ќе ги организира активностите поврзани со справување со инцидентот – со крајна цел што побрзо да се врати нормално работење на организацијата
  • Безбедност на интернет и јавни услуги и сервиси, преку спроведување на надворешно безбедносно скенирање, по што треба да следи период на поправка на најдени слабости, и воспоставени директни контакти со Интернет провајдерот за брз одговор во случај на DDoS напади
  • Одговор на фишинг-напади, преку едукација на вработените како да препознаат лажни пораки и кому да пријават
  • Безбедност на соработници и трети лица/страни, преку проверка и ревизија на ресурсите до кои организацијата им овозможува пристап на надворешни лица и фирми, вклучитлено и компаниите кои се ангажирани за одржување на ИКТ системите
  • Пријава на инциденти и сомнителни активности, во склоп на организацијата и до MKD-CIRT. Споделете информации со MKD-CIRT и на тој начин ќе помогнете да се заштитат и другите организации во државата. При тоа, MKD-CIRT пред да сподели пријавена информација, истата ќе ја направи анонимна и не споделува податоци за пријавувачот со трети страни/лица.

MKD-CIRT им препорачува на сите организации во државата да ги имплементираат и користат минималните мерки за сајбер-безбедност кои се наведени во шемата за само-оценување „Сајбер Одговорна Организација“. Повеќе информации ќе најдете на следниот линк: https://mkd-cirt.mk/odgovorno-rabotenje-na-internet/.

Користење на услуга за Наворешна сајбер безбедносна проверка на веб апликации (надворешно скенирање на веб-сајтови). Услугата е бесплатна за операторите на јавни електронски комуникациски мрежи и услуги, организации од јавен и владин сектор и оператори на критична инфраструктура во државата. Со оваа услуга организацијата ќе добие извештај за најдени слабости на своите веб-сајтови кои криминалците може да ги искористат, како и насоки како да ги поправи. Повеќе за услугата на: https://mkd-cirt.mk/usluga-za-proverka-na-veb-aplikacii/.

За подигање на јавна свест за значењето на сајбер-безбедноста и за едукација на вработените, Ви предлагаме следење на бесплатни основни онлајн обуки за сајбер-безбедност наменети за вработени и менаџери, кои се достапни на порталот за едукација на MKD-CIRT на: https://lms.mkd-cirt.mk/. Обуките се достапни на македонски и албански јазик.

 

Пријавувајте до MKD-CIRT сајбер-инциденти и сомнителни пораки и активности на:

Е-пошта: Info@mkd-cirt.mk

Телефон: 02 3091232

Добредојдовте на веб-страницата на Националниот центар за одговор на компјутерски инциденти на Република Македонија.

Со член 26-а од Законот за електронските комуникации во состав на Агенцијата за електронски комуникации се формира посебна организациона единица – Национален центар за одговор на компјутерски инциденти (MKD-CIRT), која ќе претставува официјална национална точка за контакт и координација во справувањето со безбедносните инциденти кај мрежите и информациските системи и кој ќе идентификува и ќе обезбедува одговор на безбедносни инциденти и ризици.

Јавниот клуч и неговите потписи може да се најдат на големите меѓународни јавни сервери за клучеви.

  • Key ID: 0x333C00DB
  • Key Type: RSA 4096
  • Key Fingerprint: 0FB9 3DA3 E008 FA8B FC6A 9C71 0741 17A1 333C 00DB