У ніч з 13 на 14 січня було здійснено хакерську атаку на низку сайтів державних органів, зокрема МЗС, МОН та інші. На головній сторінці цих сайтів було розміщено повідомлення провокаційного характеру. Контент сайтів при цьому змінено не було та витоку персональних даних, за попередньою інформацією, не відбулося.
З метою недопущення поширення атаки на інші ресурси та локалізації технічної проблеми тимчасово призупинено роботу низки інших сайтів державних органів.
Зараз Держспецзв’язку спільно зі Службою безпеки України та Кіберполіцією збирає цифрові докази та займається дослідженням кіберінциденту.
Наразі триває робота з надання допомоги адміністраторам вражених ресурсів у їх відновленні.
За результатами опрацювання можливих векторів атаки не виключається використання зловмисниками вразливості October CMS:
https://www.cvedetails.com/cve/CVE-2021-32648/,
https://github.com/octobercms/october/security/advisories/GHSA-h76r-vgf3-j6w5.
Якщо ваш сайт, який побудовано за допомогою даної CMS, зламано (проведено дефейс), рекомендуємо вжити наступні заходи:
1. Відключити доступ веб серверу від мережі Інтернет.
2. Зібрати та передати до CERT-UA для аналізу такі дані:
лог-файли доступу до веб серверу,
образ та/або копію файлової системи веб серверу.
3. Відновити веб сервер з резервної копії. Якщо така можливість відсутня необхідно відновити стартову сторінку сайту:
перейти за посиланням {ваш_домен}/backend/rainlab/blog/posts, знайти шкідливий пост та видалити його.
4. Перевірити наявність веб шелів (нелегітимних фалів та скриптів) на веб сервері (https://cert.gov.ua/files/pdf/CUA-14-06R.pdf).
5. Перевірити наявність сторонніх облікових записів користувачів CMS та ОС веб серверу та видалити нелегітимні, змінити паролі на всіх інших облікових записах.
6. Заблокувати доступ до адмін-панелі CMS з мережі Інтернет:
6.1 При використанні веб-серверу NGINX:
Відредагувати файл конфігурації:
/etc/nginx/sites-enabled/{ім’я файлу з конфігурацією}.conf
Зазвичай ім’я файлу з конфігурацією співпадає з доменним іменем сайту
Додати в конфігурацію (в директиві server) наступні рядки:
location /backend/backend/auth/restore {
allow {ваша внутрішня адміністративна мережа або внутрішня ІР адреса адміністратора};
deny all;
}
location /backend/backend/auth/signin {
allow {ваша внутрішня адміністративна мережа або внутрішня ІР адреса адміністратора};
deny all;
}
перезапустити NGINX.
6.2 При використанні веб-серверу APACHE:
Відредагувати файл конфігурації:
/etc/apache2/sites-enabled/{ім’я файлу з конфігурацією}.conf
Зазвичай ім’я файлу з конфігурацією співпадає з доменним іменем сайту
Додати в конфігурацію наступні рядки:
<Location /backend/backend/auth/restore >
Order deny,allow
Deny from all
Allow from {ваша внутрішня адміністративна мережа або внутрішня ІР адреса адміністратора}
</Location>
<Location /backend/backend/auth/signin >
Order deny,allow
Deny from all
Allow from {ваша внутрішня адміністративна мережа або внутрішня ІР адреса адміністратора}
</Location>
перезапустити APACHE.
7. Оновити OctoberCMS до останньої версії (у версії 1.0.472, 1.1.5 вразливість вже усунено). Включити сервер в продакшн.
Якщо сайт не зламано виконати дії зазначені в пунктах 4 – 7.
За матеріалами сайту CERT-UA
Автор публікації
