Мемлекеттік техникалық қызмет

«Мемлекеттік техникалық қызмет» АҚ ағымдағы жылғы қарашада Интернетке қол жеткізудің бірыңғай шлюзі (ИҚБШ) жабдығы пайдаланылып 17 млн астам кибершабуыл бұғатталағанын хабарлайды.

ҚР мемлекеттік, жергілікті артқарушы органдары, квазимемлекеттік және жекеменшік секторлары желілерінде кеңінен таралған ботнеттердің түрлері – andromeda.Botnet, Mozi.Botnet және njRAT.Botnet. Ботнеттерге байланысты барлық инциденттер бойынша Қызмет жою жөнінде ұсынымдар әзірлеп, хабарламалар жіберді.

Алдыңғы аймен салыстырғанда, «МТҚ» АҚ қарашада зиянды бағдарламалық қамтылымды (ЗБҚ) таратуға байланысты кейстер саны 51,17%-ға азайғанын тіркеді.  Бұл ретте инциденттердің саны «осалдықты пайдалану» түрі бойынша 29,88%-ға және «ботнеттер» 78,3%-ға артқаны тіркелді.

ЭПБШ жабдығынан алынған спам бойынша есептерді талдау барысында 2023 жылғы қарашада 38 кейс тіркеліп, оның 7-і алаяқтық мазмұндағы хаттарға жатады. Электрондық поштаның бірыңғай шлюзінің (ЭПБШ)  логтарын талдау нәтижесінде анықталған спам-жіберілімдер мен хаттардың зиянды ендірмелері карантинге орналастырылды және мақсатты алушыларға дейін жеткізілген жоқ.

Өткен айда Интернеттің қазақстандық сегментін ақпараттық қауіпсіздік қатерлері мен инциденттері тұрғысынан мониторингтеу барысында мындай осалдықтар анықталды:

1. CVE-2019-9621, CVE-2019-9670: Zimbra Collaboration Autodiscover Servlet XXE and ProxyServlet SSRF.

Сыртқы XML объектілеріндегі осалдық және Zimbra Collaboration Suite-де аутентификациясыз кодты орындау үшін сервер (SSRF) жағында сұрау салуды ұқсастыру. Autodiscover Servlet XML external entity-дегі осалдық  Zimbra есептік жазбасының  LDAP паролін қамтитын Zimbra конфигурациясының файлын оқу және кейін AuthRequest хабарламасымен пайдаланушының Cookie алу үшін пайдаланылады. Proxy Servlet-тегі SSRF әкімшілік Cookie шығарып алу және хостта командаларды орындау үшін веб-серверден іске қосуға болатын Client Upload Servlet арқылы JSP веб-қабықшасын жүктеу мақсатында Zimbra есептік деректерімен AuthRequest сұрау салуын әкімшілік портқа проксирлеу үшін пайдаланылады. Бұл осалдық барлығы 5 хостта тіркелді.

2. CVE-2023-22518: Confluence Data Center, Confluence Server.

Дата-орталығы мен Confluence серверінде дұрыс авторланбау осалдығы. Бұл Confluence деректерді өңдеу орталығының барлық нұсқалары мен 7.19.16, 8.3.4, 8.4.4, 8.5.3 және 8.6.1 нұсқаларына дейінгі серверлерге әсер етеді.Сондай-ақ, осы осалдық басқа нұсқаларды да қозғауы мүмкін. Бұл осалдық барлығы 3 хостта тіркелді.

3. Ашық деректер негізінде барлау (OSINT) барысында CVE-2023-46604 сәйкестендіргішінің маңыздылық деңгейі жоғары осалдығына ықтимал бейімді Apache ActiveMQ хабарламалар алмасудың осал сервистерін пайдаланатын 20 IP-мекенжайы анықталды.

Apache ActiveMQ бағдарламалық платформасының CVE-2023-46604 сәйкестендіргішінің осалдығы жадта дұрыс емес деректерді қалпына келтіруге байланысты. Осалдықты пайдалану қашықтан әрекет ететін зиянкеске OpenWire хаттамасы бойынша сынып жасау арқылы еркін кодты орындауға, жүйелерді бақылауды қолға түсіріп, трояндар мен бопсалаушы бағдарламалар сияқты зиянды БҚ енгізуге мүмкіндік беруі ықтимал, бұл деректердің құпиялылығы мен тұтастығына қатер төндіреді.

4. CVE-2023-33466 сәйкестендіргішінің маңыздылық деңгейі жоғары осалдығына бейімді Orthanc жүйелері 1.12.0 нұсқасына дейін өрістетілген 4 IP-мекенжайы анықталды. Анықталған IP-мекенжайлары бойынша Orthanc Explorer веб-интерфейсінде авторлану нысанының жоқ болуы зиянкестерге осалдықты ҚР азаматтарының медициналық мәліметтері мен дербес деректерін қамтитын файлдарды қайта жазу үшін және ықтимал, еркін коды орындау үшін пайдалануға мүмкіндік береді.

Мүмкін болатын ақпараттық қауіпсіздік тәуекелдері мен қатерлеріне жол бермеу мақсатында KZ-CERT ұсынымдар әзірлеп, осалдықтар анықталған интернет-ресурстардың және IP-мекенжайлары иелерін/иеленушілерін электрондық пошта арқылы хабарландыру жөніндегі іс-шараларды жүргізді.

Егер сіз ақпараттық қауіпсіздіктің инцидентіне тап болсаңыз, бізге 1400 (тәулік бойы) ақысыз нөмірі, telegram-бот @KZ_CERT_chat_bot немесе сілтемесі бойынша, не email: incident@cert.gov.kz хабарлаңыз.