A Flash sebezhetőségét használták ki az RSA támadói
Az EMC biztonsággal foglalkozó leányvállalathoz az Adobe Flash javítatlan sebezhetőségét kihasználva jutottak be támadók. A támadás történetét taglaló leírás számos kérdést felvet.
Március második felében internetes támadás érte az EMC biztonsági leányvállalatát, az RSA-t, amelynek során a SecurID kétfaktoros azonosítással kapcsolatos információkat is zsákmányoltak. A vállalatnál még folyik a vizsgálat, továbbra sem tudni, milyen adatok kerülhettek illetéktelen kezekbe, de egy blogbejegyzésből már tudjuk, a támadók hogyan jutottak be. Uri Rivner, az RSA biztonsági főnöke számos információt nyilvánosságra hozott a március közepén történt incidensről, amelyek nem tüntetik fel jó színben az RSA-t.
A leírás szerint a támadók valószínűleg közösségi oldalon választották ki áldozataikat, akiknek az e-mail címére két nap alatt két különféle adathalász levelet küldtek. Ezek a levelek látszólag 2011-es munkaerő-toborzási terveit tárgyalták, a levélszemét-szűrő kéretlennek is nyilvánította őket. Az egyik RSA-alkalmazottat mégis sikerült megtéveszteni, aki a kéretlen leveleket tartalmazó mappában rábukkant a levélre, megnyitotta a csatolt Excel állományt, amely az Adobe Flash egy akkor még foltozatlan sebezhetőségét kihasználva backdoort telepített a gépre. A Poison Ivy egyik variánsa reverse-connect módban használva lehetővé tette a támadók számára a távoli hozzáférést, a támadók pedig elkezdtek további információkat gyűjteni - hogy mennyi ideig volt bejárásuk, azt Rivner nem árulta el.
CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.
Ezt követően a bűnözők folyamatosan haladtak a céljuk felé, vagyis a magasabb jogosultsággal rendelkező felhasználók becserkészése irányába, amihez többek között szerveradminok hozzáférési információit is megszerezték. A harmadik, utolsó fázisban a támadók a megfelelő szervereken birtokába jutottak a keresett adatoknak, amelyeket egy közbülső, de még az RSA-nél található "staging" szerverre továbbítottak, jelszóval védett RAR állományokba tömörítettek, majd egy külső internetszolgáltató feltört szerverére FTP-ztek. A blogbejegyzés szerint az RSA ebben a fázisban észlelte a támadást.
A blogbejegyzés megválaszol néhány kérdést, ugyanakkor nyitva hagy számos továbbit. A behatolást és adatlopást beismerő márciusi közleményében az RSA "kifinomult támadásról" beszélt, a beszámoló alapján azonban egy tipikus APT, azaz Advanced Persistent Threat támadásról van szó, ami nem is különösebben kifinomult, se nem új (még Wikipedia-szócikke is van) - miért nem készült fel jobban az RSA? Az is furcsa, hogy a világ egyik legnagyobb IT-biztonsági vállalatánál a kliensekre telepített végpontvédelmi megoldás nem szúrta ki a régóta ismert Poison Ivyt és a forgalma nem akadt fent a tűzfalon. Ugyanígy érthetetlen, hogy az Excel miért volt úgy konfigurálva, hogy Adobe Flash-t hajthasson végre, mint ahogy az is, hogyan engedheti meg magának az RSA, hogy a hálózatából egy külső FTP-szerverre adatok távozzanak.