Государственная техническая служба

АО «Государственная техническая служба» сообщает, что с использованием  Единого шлюза доступа к Интернету (ЕШДИ) в июле текущего года заблокировано более      25 млн. кибератак.

Наиболее распространёнными типами ботнета в сетях государственных органов, местных исполнительных органов, организаций квазигосударственного и частного секторов РК стали Mozi.Botnet, Lethic.Botnet, и andromeda.Botnet. В сравнении с предыдущим месяцем зафиксировано увеличение количества инцидентов информационной безопасности типа вредоносное программное обеспечение (ВПО) на 10,88%. Наибольшее количество инцидентов ВПО зарегистрировано в местных исполнительных органах.

В июле текущего года в процессе мониторинга казахстанского сегмента Интернета на наличие угроз и инцидентов информационной безопасности обнаружена уязвимость, которая может представить угрозу для безопасности данных пользователей кроссплатформенного сервера для обмена мгновенными сообщениями Openfire. CVE-2023-32315: Openfire Administration Console authentication bypass подразумевает, что консоль администратора Openfire оказалась уязвимой для атаки с обходом каталога через среду установки. Уязвимость позволяет злоумышленнику, не прошедшему проверку подлинности, использовать среду установки Openfire для доступа к страницам в консоли администратора, доступ к которым должен быть ограничен. Эта уязвимость затрагивает все версии Openfire, выпущенные с апреля 2015 года, начиная с версии 3.10.0. Проблема была исправлена ​​в выпусках Openfire 4.7.5 и 4.6.8, а дальнейшие улучшения будут включены в еще не выпущенную первую версию ветки 4.8. При возникновении инцидентов такого типа необходимо незамедлительно принять соответствующие меры для минимизации рисков.

Добавим, что в июле месяце т.г. в СМИ стало известно об уязвимости в продуктах MikroTik RouterOS. В ходе анализа специалистами KZ-CERT обнаружены IP-адреса клиентов ЕШДИ, использующих MikroTik RouterOS с паролями по умолчанию и подверженные высокому уровню критичности уязвимости идентификатора CVE-2023-30799.

Вместе с тем, в тот же период в ходе мониторинга казахстанского сегмента Интернета обнаружены 27 IP-адресов, использующих продукты Citrix NetScaler ADC и NetScaler Gateway, потенциально подверженные уязвимости с высоким уровнем критичности идентификатора CVE-2023-3519. Отметим, что все 27 IP-адресов не подключены к ЕШДИ.

*NetScaler Application Delivery Controller (ADC) – это программно-аппаратный сетевой контроллер, который обеспечивает балансировку нагрузки на серверы, управление трафиком, шифрование данных и защиту от атак в реальном времени. Он позволяет распределять нагрузку на несколько серверов, обеспечивая равномерное распределение запросов и предотвращая перегрузки. Это повышает производительность и доступность приложений для пользователей.

*Citrix NetScaler Gateway — это решение для безопасного доступа к приложениям, которое обеспечивает детализированные средства контроля на уровне приложений и данных и одновременно обеспечивает пользователям возможность удаленного доступа из любого места.

По данным Shadowserver Foundation, в ходе массовых атак на CVE-2023-3519 с 20 июля текущего года около 640 серверов в мире Citrix Netscaler ADC и Gateway уже взломаны и заражены бэкдорами. Также известно, что годами ранее вымогательские группировки REvil и DoppelPaymer воспользовались аналогичными уязвимостями Citrix Netscaler ADC и Gateway для взлома корпоративных сетей в прошлых атаках.

18 июля 2023 года компания Citrix опубликовала бюллетень безопасности, в которой, помимо CVE-2023-3519, сообщили еще о двух уязвимостях, затрагивающих продукты NetScaler ADC и NetScaler Gateway: CVE-2023-3466, CVE-2023-3467.

Во избежание возможных рисков и угроз информационной безопасности KZ-CERT выработаны рекомендации и проведены мероприятия по оповещению посредством электронной почты собственников/владельцев интернет-ресурсов и IP-адресов, по которым выявлены уязвимости.

Напомним, своевременное обновление программного обеспечения является важным аспектом информационной безопасности. Обновления, выпущенные разработчиками программ, включают исправления ошибок, закрытие уязвимостей и добавление новых функций. Рекомендуется настроить автоматическое обновление программного обеспечения, чтобы быть уверенным в том, что система всегда обновлена и защищена от известных уязвимостей.

Если вы столкнулись с инцидентом информационной безопасности, сообщайте нам по бесплатному номеру 1400 (круглосуточно) или по ссылке: https://www.cert.gov.kz/notify-incident, или на email: incident@cert.gov.kz