A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete (NBSZ-NKI) heti rendszerességgel összeállít egy válogatást az adott időszak információbiztonsági híreiből. Azonban nem csak az NKI által közzétett válogatásban szereplő cikkekből szemezgetünk, mivel azt tapasztaltuk, hogy olvasóink azokra a hírekre is nyitottak, amelyek hatásai túlmutatnak a szűkebb kibervédelmi és technikai aktualitásokon.
Az NKI a sajtószemle mellett tájékoztatást és riasztásokat is küld, ha úgy ítéli meg, hogy azok olyan súlyú fenyegetéseket tartalmaznak, amelyeket érdemes közzétenni az érintetti körben. A legszerencsésebb (és utólag mindig kiderül, a legköltséghatékonyabb) megelőzni a bajt: azok a szervezetek, ahol az információbiztonsági felelős élő kapcsolatot ápol a rendszer üzemeltetőivel, fejlesztőivel és használóival, az érintettek megerősödött immunrendszerükkel könnyebben állnak ellen a vírusoknak, zsarolási kísérleteknek és egyéb rosszindulatú kódok mesterkedéseinek!
Aki a teljes anyagra kíváncsi itt találja meg a forrást:
https://nki.gov.hu/it-biztonsag/kiadvanyok/sajtoszemle/.
Továbbra se feledjük: a kibertérben a biztonság csak egy hamis illúzió...
Forrás: https://nki.gov.hu/it-biztonsag/kiadvanyok/sajtoszemle/sajtoszemle-2024-9-het/
Már egy nap sem kell hozzá és beköszönt az igazi tavasz - sajnos nemcsak a füvek, fák és virágok ébrednek és nyiladoznak, de ahogy az NKI sajtószemléjéből megtudhatjuk: a kibertér sötét erői is érzik a zsongást...
"A SCREENCONNECT SÉRÜLÉKENYSÉGET HASZNÁLJÁK KI A MEGMARADT LOCKBIT TAGOK - A támadók egy maximális súlyosságú hitelesítési megkerülési sebezhetőséget használnak ki a nem javított ScreenConnect kiszolgálók feltörésére és LockBit zsarolóprogramok telepítésére a megtámadott hálózatokon."
A cikk nem ezzel a mondattal kezdődik, de a jobb érthetőség kedvéért megtöröm az idősíkot: "A LockBit elleni akció ellenére úgy tűnik, hogy néhány társcsoportjuk még mindig aktív."
És most nézzük a részleteket: "A hét elején a ConnectWise biztonsági frissítéseket adott ki, és több kiberbiztonsági vállalat PoC exploitokat tett közzé. Egy nappal később, a maximális súlyosságú CVE-2024-1709 auth bypass hiba aktív kihasználását jelentették."
Aki még ennél is többet szeretne tudni az esetről itt kopogtasson: https://nki.gov.hu/it-biztonsag/hirek/a-screenconnect-serulekenyseget-hasznaljak-ki-a-megmaradt-lockbit-tagok/.
"A LOCKBIT ÚJRAÉLED ÉS FEL AKARJA VENNI A KESZTYŰT A HATÓSÁGOKKAL - A LockBit csoport, kevesebb mint egy héttel azután, hogy a bűnüldöző szervek feltörték a szervereit, új infrastruktúrán indítja újra műveleteit, és azzal fenyegetőzik, hogy még több támadást intéznek a kormányzati szektor ellen."
"A banda egy hosszú üzenetet tett közzé a betörést lehetővé tevő gondatlanságukról és a művelet további részleteiről. Közleményükben arra hivatkoznak, hogy »személyes hanyagság és felelőtlenség« vezetett ahhoz, hogy a bűnüldöző szervek megzavarták a tevékenységüket. Bejelentették, hogy folytatják a műveleteiket."
Nem tudom megállni, hogy ne idézzek még egy mondatot a cikkből: "Személyes hanyagságom és felelőtlenségem miatt megpihentem, és nem frissítettem időben a PHP-t. A csoport szerint a »victim's« admin és chatpanel szervere, valamint a blog szerver 8.1.2-es PHP-t futtatott, és valószínűleg a CVE-2023-3824 néven nyomon követett kritikus sebezhetőséget kihasználva törték fel őket."
Hát, igen... A hanyagság nemcsak a kibertér világos felén okozhat galibát, de a másik oldalon is. Az lesz majd a szép világ, amikor a LockBit csoporthoz hasonló társaságok egymás szervereit törik majd és kérnek váltságdíjat az eltulajdonított adatokért - amelyeket ebül szereztek meg tőlünk. Amit viszont az incidens további eszkalálódásának érdekében terveznek, szintén példaértékű: ilyen cselekvési/intézkedési tervek láttán az NKI is elégedetten dőlne hátra, ha nem lenne egyéb dolga - temérdek.
"HACKEREK HASZNÁLJÁK KI A 14 ÉVES CMS SZERKESZTŐT - A fenyegetettségi szereplők egy már 14 évvel ezelőtt megszüntetett CMS szerkesztőt használnak fel arra, hogy az oktatási és kormányzati szervezetek keresési eredményét rosszindulatú webhelyekkel mérgezzék."
Itt sajnos nem igaz a régi mondás: működő rendszeren ne változtass!
"A g0njxa nevű kiberbiztonsági kutató fedezett fel egy rosszindulatú átirányítási kampányt. Ebben a kampányban a támadók által használt nyílt átirányítási kérések az FCKeditorhoz kapcsolódnak, egy egykor népszerű webes szövegszerkesztőhöz, amely lehetővé teszi a felhasználók számára,
- 37/38 -
hogy a HTML tartalmat közvetlenül egy weboldalon belül szerkesszenek. A kampány elsősorban oktatási intézményeket (pl. MIT, Columbia University, Universitat de Barcelona, Auburn University, University of Washington, Purdue, Tulane, Universidad Central del Ecuador, University of Hawaii), valamint olyan kormányzati és vállalati oldalakat is célba vesz, amelyek az elavult FCKeditor bővítményt használják (pl. Virginia, Austin, Texas kormányzati, Spanyolország kormányzati és a Yellow Pages Canada oldala)."
Akit a konkrét módszer is érdekel az általános tanulságokon túl, itt kövesse az eseményeket: https://nki.gov.hu/it-biztonsag/hirek/hackerek-hasznaljak-ki-a-14-eves-cms-szerkesztot/.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
