Nacionalna uprava za nuklearnu sigurnost (NNSA) postala je žrtva sofisticiranog sajber napada koji iskorištava prethodno nepoznatu ranjivost u Microsoft SharePointu, što označava jedno od najznačajnijih sigurnosnih kršenja usmjerenih na kritičnu američku obrambenu infrastrukturu ove godine.
Hakerske grupe povezane s kineskom vladom iskoristile su zero-day ranjivost koja je uticala na lokalne SharePoint instalacije kako bi se infiltrirale u preko 50 organizacija, uključujući agenciju odgovornu za održavanje nuklearnih podmorničkih reaktora mornarice.
Napad na SharePoint u NNSA-i
NNSA, odgovorna za obezbjeđivanje nuklearnih reaktora podmorničkoj floti američke mornarice i održavanje američkih zaliha nuklearnog oružja, postala je kolateralna šteta u onome što sigurnosni istraživači opisuju kao sofisticirano iskorištavanje daljinskog izvršavanja koda (RCE).
Ranjivost, koja utiče na SharePoint Server verzije 2019 i Subscription Edition, omogućava napadačima da zaobiđu mehanizme autentifikacije i izvrše proizvoljni kod na ciljnim sistemima.
Prema izvještaju Bloomberga , vektor napada iskoristio je ranjivost deserijalizacije u kombinaciji s greškom u zaobilaženju autentifikacije, a obje su prvobitno demonstrirane na hakerskom takmičenju Pwn2Own u Vancouveru u maju 2024. godine.
Lanac iskorištavanja omogućava prijetnjama da dobiju neovlašteni pristup SharePoint serverima, izdvoje osjetljive podatke, prikupe korisničke kredencijale i potencijalno se preusmjere na povezanu mrežnu infrastrukturu.
Srećom, zvaničnici Ministarstva energetike potvrdili su da tokom incidenta nisu kompromitovane nikakve povjerljive ili osjetljive nuklearne informacije.
Čini se da je agencijska strategija migracije Microsoft 365 u oblak ograničila uticaj napada, budući da je zero-day napad posebno usmjeren na lokalne SharePoint implementacije, a ne na uslugu SharePoint Online u oblaku.
„Ministarstvo je minimalno pogođeno zbog široko rasprostranjene upotrebe Microsoft M365 oblaka i vrlo sposobnih sistema za sajber sigurnost“, izjavio je portparol Ministarstva energetike.
Microsoftov odgovor
Microsoft je objavio hitne sigurnosne zakrpe koje rješavaju ranjivost u svim pogođenim verzijama SharePoint Servera.
Centar za sigurnosne odgovore kompanije (MSRC) izdao je kritične sigurnosne biltene u kojima se poziva na hitnu primjenu zakrpa, naglašavajući ocjenu ozbiljnosti CVSS-a 9.8 dodijeljenu ovom lancu iskorištavanja.
Incident naglašava rastuću zabrinutost u vezi sa sigurnošću lanca snabdijevanja i rizicima koje predstavljaju instalacije lokalnog softvera u preduzećima.
Stručnjaci za sajber sigurnost upozoravaju da sofisticirana priroda ovog napada pokazuje razvojne sposobnosti naprednih grupa za perzistentne prijetnje (APT) u iskorištavanju zero-day ranjivosti prije nego što dobavljači mogu razviti zakrpe.
Organizacijama koje koriste lokalna SharePoint okruženja savjetuje se da odmah primijene Microsoftova sigurnosna ažuriranja i provedu sveobuhvatne procjene odgovora na incidente kako bi identifikovale potencijalne indikatore kompromitovanja.
Izvor: CyberSecurityNews
