GovCERT.CZ na webových stránkách NÚKIB komentoval útok na řadu vládních webů ukrajinské vlády, v jehož důsledku byl nahrazen originální obsah webových stránek obsahem vytvořeným útočníkem. Došlo k němu na přelomu 13. a 14. ledna. Dle ukrajinského CERT týmu útočníci pravděpodobně zneužili zranitelnost CVE-2021-32648 redakčního systému s názvem October CMS. Přestože ten není v České republice rozšířen, může se tento útok v budoucnu týkat i jiných redakčních systémů, nepřehlédněte proto doporučení k zabezpečení, která jsou v druhé části článku.

V noci ze čtvrtka 13. ledna na pátek 14. ledna 2022 proběhl útok na řadu vládních webů ukrajinské vlády, včetně ministerstva zahraničí, při kterém došlo k nahrazení originálního obsahu webových stránek obsahem vytvořeným útočníkem, tzv. defacementem. Tato technika je obvykle používána politicky motivovanými skupinami jako forma kybernetického graffiti. V zásadě ale nelze vyloučit, že defacement může být pouze forma klamné operace a cíl útočníků může být jiný – například získání přístupu do interních systémů organizace. Proto by i těmto typům útoků měla být věnována obdobná pozornost, jako v případě jiných incidentů.

Dle ukrajinského CERT týmu útočníci pravděpodobně zneužili zranitelnost CVE-2021-32648 redakčního systému s názvem October CMS. Tato zranitelnost spočívá v tom, že kdokoliv s přístupem k administračnímu rozhraní systému, které je ve výchozím nastavení přístupné z internetu, mohl změnit administrátorské heslo a následně se přihlásit do systému.

Zranitelnost byla v systému opravena již v březnu minulého roku ve verzích 1.0.472 a 1.1.5, v době útoku se tedy nejednalo o zranitelnost nultého dne.

Redakční systém October CMS není v České republice rozšířen, dle našich informací je u nás provozováno jen několik desítek instancí tohoto systému. Přesto se podobné typy zranitelností mohou objevit i v jiných redakčních systémech, níže proto uvádíme seznam doporučení, díky kterým je možné podobným útokům předcházet nebo alespoň minimalizovat jejich dopad.

Doporučení k zabezpečení:

• Udržujte využívaný redakční systém aktualizovaný a sledujte oznámení vývojářů o zranitelnostech.
• Administrační rozhraní redakčního systému by nemělo být přístupné z Internetu, ale pouze z definovaných rozsahů IP adres nebo přes dodatečnou autentizaci (např. VPN).
• Pro přístup do administrace využívejte vícefaktorovou autentizaci.
• Využívejte službu pro automatický monitoring důležitých webových stránek, která vás upozorní na nedostupnost nebo jejich změnu.
• Pravidelně zálohujte a mějte připravené postupy pro obnovu webových stránek ze zálohy.
• Mějte připravené rychlé řešení, pokud dojde k defacementu (např. změnou DNS přesměrujte uživatele na jiný server, který bude informovat o aktuální situaci).
• Server s webovými stránkami umístěte v jiné síti, než interní servery organizace, aby se případný útočník nemohl laterálně pohybovat v síti na další servery.

O GovCERT.CZ

Vládní CERT (GovCERT.CZ) a týmy typu CSIRT hrají klíčovou roli při ochraně kritické informační infrastruktury a významných informačních systémů podle zákona o kybernetické bezpečnosti (181/2014 Sb.) a jeho prováděcích předpisů. Každá země, která má své kritické systémy připojeny do internetu, musí být schopna efektivně a účinně čelit bezpečnostním výzvám, reagovat na incidenty, koordinovat činnosti při jejich řešení a účelně působit při předcházení incidentům.

Úlohou těchto týmů je zároveň působit jako prvotní zdroj bezpečnostních informací a pomoci pro orgány státu, organizace i občany. Neméně důležitou roli hrají při zvyšování vzdělanosti v oblasti bezpečnosti na internetu.

Zdroj: nukib.cz; JM