CISA проникла в федеральное агентство США. Никто не замечал этого 5 месяцев
Что раскрывает критические провалы в системе безопасностиПо словам Коннора Джонса из The Register, агентство не смогло обнаружить или смягчить последствия "вредоносной активности" в течение пяти месяцев. Взлом начался 25 января 2023 года, когда "красная команда" использовала непропатченную уязвимость (CVE-2022-21587) в системе Oracle Solaris агентства, получив первоначальный доступ. Несмотря на оперативное уведомление агентства, на применение необходимого патча ушло более двух недель. После этого команда получила доступ к важным веб-приложениям и базам данных, а затем проникла в сеть с помощью фишинговых атак.
Оказавшись внутри, команда обнаружила незащищенные учетные данные администратора и файл паролей, содержащий имена пользователей и пароли в открытом виде, что привело к полной компрометации домена. Используя эти учетные данные, они проникли во внешние партнерские организации.
В отчете CISA отмечается, что агентство не обнаруживало подозрительную активность в течение пяти месяцев, что "подчеркивает необходимость совершенствования средств защиты".