АО «Государственная техническая служба» сообщает, что в ноябре текущего года с использованием Единого шлюза доступа к Интернету (ЕШДИ) заблокировано свыше 17 млн. кибератак , сообщает bluescreen.kz .

Бесплатное фото Концепция коллажа html и css с хакером

Иллюстрированное фото: ru.freepik.com

Наиболее распространенными типами ботнета в сетях государственных, местных исполнительных органов, организаций квазигосударственного и частного секторов РК стали andromeda.Botnet, Mozi.Botnet и njRAT.Botnet. По всем инцидентам, связанным с ботнетами, Службой выработаны рекомендации по устранению и направлены оповещения.

По сравнению с предыдущим месяцем в ноябре АО «ГТС» зафиксировано уменьшение количества кейсов, связанных с распространением вредоносного программного обеспечения (ВПО) на 51,17%. При этом зафиксирован рост количества инцидентов по типу «эксплуатация уязвимости» на 29,88%, и «ботнеты» на 78,3%.

В ходе анализа отчетов по спаму, полученных с оборудования ЕШЭП в ноябре 2023 года зафиксировано 38 кейсов, где 7 относятся к письмам с мошенническим содержанием. Спам-рассылки и вредоносные вложения писем, обнаруженные в результате анализа логов Единого шлюза электронной почты (ЕШЭП), помещены на карантин и до целевых получателей не доставлены.

В прошлом месяце в ходе мониторинга казахстанского сегмента Интернета на наличие угроз и инцидентов информационной безопасности обнаружены следующие уязвимости:

1. CVE-2019-9621, CVE-2019-9670: Zimbra Collaboration Autodiscover Servlet XXE and ProxyServlet SSRF.

Уязвимость во внешних объектах XML и подделка запроса на стороне сервера (SSRF) для выполнения кода без аутентификации в Zimbra Collaboration Suite. Уязвимость в Autodiscover Servlet XML external entity используется для чтения файла конфигурации Zimbra, содержащего пароль LDAP для учетной записи Zimbra. и последующего получения Cookie пользователя с сообщением AuthRequest. SSRF в Proxy Servlet используется для проксирования запроса AuthRequest с учетными данными Zimbra на административный порт с целью извлечения административной Cookie и загрузки веб-оболочки JSP посредством Client Upload Servlet, которую можно запустить с веб-сервера для выполнения команд на хосте. Всего данная уязвимость зарегистрирована на 5 хостах.

2. CVE-2023-22518: Confluence Data Center, Confluence Server.

Уязвимость неправильной авторизации в дата-центре и сервере Confluence. Это влияет на все версии центра обработки данных Confluence и сервера до версий 7.19.16, 8.3.4, 8.4.4, 8.5.3 и 8.6.1. Другие версии также могут быть затронуты данной уязвимостью. Всего данная уязвимость зарегистрирована на 3 хостах.

3. В ходе разведки на основе открытых данных (OSINT) обнаружено 20 IP-адресов, использующих уязвимые сервисы обмена сообщениями Apache ActiveMQ, потенциально подверженные уязвимости с высоким уровнем критичности идентификатора CVE-2023-46604.

Уязвимость идентификатора CVE-2023-46604 программной платформы Apache ActiveMQ связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить злоумышленнику, действующему удаленно, выполнить произвольный код путем создания класса по протоколу OpenWire, захватить контроль над системами и внедрить вредоносные ПО, такие как трояны и программы-вымогатели, что угрожает конфиденциальности и целостности данных.

4. Обнаружены 4 IP-адреса, на которых развернуты системы Orthanc до версии 1.12.0, подверженные уязвимости с высоким уровнем критичности идентификатора CVE-2023-33466. Отсутствие формы авторизации по обнаруженным IP-адресам на веб-интерфейсе Orthanc Explorer позволяет злоумышленникам эксплуатировать уязвимость для перезаписи файлов, которые содержат медицинские сведения и персональные данные граждан РК и потенциально, для выполнения произвольного кода.

Во избежание возможных рисков и угроз информационной безопасности KZ-CERT выработаны рекомендации и проведены мероприятия по оповещению по электронной почте собственников/владельцев интернет-ресурсов и IP-адресов, по которым выявлены уязвимости.

Источник bluescreen.kz