ОБЗОР ИНЦИДЕНТОВ ЗА НОЯБРЬ 2023 ГОДА
АО «Государственная техническая служба» сообщает, что в ноябре текущего года с использованием Единого шлюза доступа к Интернету (ЕШДИ) заблокировано свыше 17 млн. кибератак.
Наиболее распространёнными типами ботнета в сетях государственных, местных исполнительных органов, организаций квазигосударственного и частного секторов РК стали andromeda.Botnet, Mozi.Botnet и njRAT.Botnet. По всем инцидентам, связанным с ботнетами, Службой выработаны рекомендации по устранению и направлены оповещения.
По сравнению с предыдущим месяцем в ноябре АО «ГТС» зафиксировано уменьшение количества кейсов связанных с распространением вредоносного программного обеспечения (ВПО) на 51,17%. При этом зафиксирован рост количества инцидентов по типу «эксплуатация уязвимости» на 29,88%, и «ботнеты» на 78,3%.
В ходе анализа отчётов по спаму, полученных с оборудования ЕШЭП в ноябре 2023 года зафиксировано 38 кейсов, где 7 относятся к письмам с мошенническим содержанием. Спам-рассылки и вредоносные вложения писем, обнаруженные в результате анализа логов Единого шлюза электронной почты (ЕШЭП), помещены на карантин и до целевых получателей не доставлены.
В прошлом месяце в ходе мониторинга казахстанского сегмента Интернета на наличие угроз и инцидентов информационной безопаности обнаружены следующие уязвимости:
- CVE-2019-9621, CVE-2019-9670: Zimbra Collaboration Autodiscover Servlet XXE and ProxyServlet SSRF.
Уязвимость во внешних объектах XML и подделка запроса на стороне сервера (SSRF) для выполнения кода без аутентификации в Zimbra Collaboration Suite. Уязвимость в Autodiscover Servlet XML external entity используется для чтения файла конфигурации Zimbra, содержащего пароль LDAP для учетной записи Zimbra. и последующего получения Cookie пользователя с сообщением AuthRequest. SSRF в Proxy Servlet используется для проксирования запроса AuthRequest с учетными данными Zimbra на административный порт с целью извлечения административной Cookie и загрузки веб-оболочки JSP посредством Client Upload Servlet, которую можно запустить с веб-сервера для выполнения команд на хосте. Всего данная уязвимость зарегистрирована на 5 хостах.
- CVE-2023-22518: Confluence Data Center, Confluence Server.
Уязвимость неправильной авторизации в дата-центре и сервере Confluence. Это влияет на все версии центра обработки данных Confluence и сервера до версий 7.19.16, 8.3.4, 8.4.4, 8.5.3 и 8.6.1. Другие версии также могут быть затронуты данной уязвимостью. Всего данная уязвимость зарегистрирована на 3 хостах.
- В ходе разведки на основе открытых данных (OSINT) обнаружено 20 IP-адресов, использующих уязвимые сервисы обмена сообщениями Apache ActiveMQ, потенциально подверженные уязвимости с высоким уровнем критичности идентификатора CVE-2023-46604.
Уязвимость идентификатора CVE-2023-46604 программной платформы Apache ActiveMQ связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить злоумышленнику, действующему удаленно, выполнить произвольный код путем создания класса по протоколу OpenWire, захватить контроль над системами и внедрить вредоносные ПО, такие как трояны и программы-вымогатели, что угрожает конфиденциальности и целостности данных.
- Обнаружены 4 IP-адреса, на которых развернуты системы Orthanc до версии 1.12.0, подверженные уязвимости с высоким уровнем критичности идентификатора CVE-2023-33466. Отсутствие формы авторизации по обнаруженным IP-адресам на веб-интерфейсе Orthanc Explorer позволяет злоумышленникам эксплуатировать уязвимость для перезаписи файлов, которые содержат медицинские сведения и персональные данные граждан РК и потенциально, для выполнения произвольного кода.
Во избежание возможных рисков и угроз информационной безопасности KZ-CERT выработаны рекомендации и проведены мероприятия по оповещению по электронной почте собственников/владельцев интернет-ресурсов и IP-адресов, по которым выявлены уязвимости.
Если вы столкнулись с инцидентом информационной безопасности, сообщайте нам по бесплатному номеру 1400 (круглосуточно), по ссылке на telegram-бот @KZ_CERT_chat_bot или на email: incident@cert.gov.kz
