CISA, saldırganların geçen yıl isimsiz bir ABD Federal Sivil Yürütme Şubesi (FCEB) ajansı ağını ihlal ettiğini açıkladı.
Güvenlik hatası (CVE-2024-36401 olarak izlendi) 18 Haziran 2024 tarihinde yamalanan bir kritik uzaktan kod yürütme (RCE) güvenlik açığıdır. [1, 2, 3]açık sunucularda kod yürütme nasıl elde edileceğini gösteren.
Siber güvenlik ajansı, kusurların vahşi doğada nasıl kullanılacağına dair herhangi bir ayrıntı vermese de, tehdit izleme hizmeti shadowserver, 9 Temmuz 2024’ten başlayarak CVE-2024-36401 saldırılarını gözlemledi.
İlk saldırılar tespit edildikten iki gün sonra, tehdit aktörleri bir ABD federal ajansının Geoserver sunucusuna erişti ve yaklaşık iki hafta sonra bir tane daha tehlikeye attı. Saldırının bir sonraki aşamasında, bir web sunucusunu ve bir SQL sunucusunu ihlal ederek ajansın ağı boyunca yanal olarak hareket ettiler.
Cisa, Salı günü danışmanlıkta, “Her sunucuda, Çin Chopper gibi web mermileri, uzaktan erişim, kalıcılık, komuta yürütme ve ayrıcalık artışı için tasarlanmış komut dosyaları yüklediler (veya yüklemeye çalıştılar).” Dedi.
“Kuruluşun ağına girdikten sonra, siber tehdit aktörleri öncelikle kaba kuvvet tekniklerine güveniyordu [T1110] Yan hareket ve ayrıcalık artışı için şifreler elde etmek. Ayrıca, ilgili hizmetlerinden yararlanarak hizmet hesaplarına eriştiler. “
Tehdit aktörleri, federal ajansın uç nokta tespit ve yanıt (EDR) aracı (SOC) ihlalinde uyarıncaya kadar üç hafta boyunca tespit edilmedi.
Saldırganların kötü niyetli etkinliği ek EDR uyarılarını tetikledikten sonra, SOC ekibi sunucuyu izole etti ve CISA’nın yardımıyla bir soruşturma başlattı.
CISA, ağ savunucularını kritik güvenlik açıklarını (özellikle bilinen sömürülen güvenlik açıkları kataloğuna eklenenler) hızlandırmaya çağırıyor, güvenlik operasyon merkezlerinin şüpheli ağ etkinliği için EDR uyarılarını sürekli olarak izliyor ve olay müdahale planlarını güçlendiriyor.
Temmuz ayında, ABD Siber Güvenlik Ajansı, ABD kritik bir altyapı organizasyonunda proaktif bir av katılımının ardından başka bir danışma yayınladı.
Ağında kötü niyetli etkinlik kanıtları bulamasa da, güvensiz depolanmış kimlik bilgileri, birden fazla iş istasyonunda paylaşılan yerel yönetici kimlik bilgileri, yerel yönetici hesapları için sınırsız uzaktan erişim, yetersiz gündelik konfigürasyon sorunları dahil ancak bunlarla sınırlı olmamak üzere birçok siber güvenlik riski keşfetti.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.