Mellékleteink: Unix / Linux | Gamekapocs
Keres
>> Developer 2014 kutatás: vegyél részt a kutatásunkban és segíts megismerni a hazai szoftverfejlesztők szokásait! <<

A Flash sebezhetőségét használták ki az RSA támadói

Bodnár Ádám, 2011. április 06. 10:21
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Az EMC biztonsággal foglalkozó leányvállalathoz az Adobe Flash javítatlan sebezhetőségét kihasználva jutottak be támadók. A támadás történetét taglaló leírás számos kérdést felvet.

Március második felében internetes támadás érte az EMC biztonsági leányvállalatát, az RSA-t, amelynek során a SecurID kétfaktoros azonosítással kapcsolatos információkat is zsákmányoltak. A vállalatnál még folyik a vizsgálat, továbbra sem tudni, milyen adatok kerülhettek illetéktelen kezekbe, de egy blogbejegyzésből már tudjuk, a támadók hogyan jutottak be. Uri Rivner, az RSA biztonsági főnöke számos információt nyilvánosságra hozott a március közepén történt incidensről, amelyek nem tüntetik fel jó színben az RSA-t.

A leírás szerint a támadók valószínűleg közösségi oldalon választották ki áldozataikat, akiknek az e-mail címére két nap alatt két különféle adathalász levelet küldtek. Ezek a levelek látszólag 2011-es munkaerő-toborzási terveit tárgyalták, a levélszemét-szűrő kéretlennek is nyilvánította őket. Az egyik RSA-alkalmazottat mégis sikerült megtéveszteni, aki a kéretlen leveleket tartalmazó mappában rábukkant a levélre, megnyitotta a csatolt Excel állományt, amely az Adobe Flash egy akkor még foltozatlan sebezhetőségét kihasználva backdoort telepített a gépre. A Poison Ivy egyik variánsa reverse-connect módban használva lehetővé tette a támadók számára a távoli hozzáférést, a támadók pedig elkezdtek további információkat gyűjteni - hogy mennyi ideig volt bejárásuk, azt Rivner nem árulta el.

Ezt követően a bűnözők folyamatosan haladtak a céljuk felé, vagyis a magasabb jogosultsággal rendelkező felhasználók becserkészése irányába, amihez többek között szerveradminok hozzáférési információit is megszerezték. A harmadik, utolsó fázisban a támadók a megfelelő szervereken birtokába jutottak a keresett adatoknak, amelyeket egy közbülső, de még az RSA-nél található "staging" szerverre továbbítottak, jelszóval védett RAR állományokba tömörítettek, majd egy külső internetszolgáltató feltört szerverére FTP-ztek. A blogbejegyzés szerint az RSA ebben a fázisban észlelte a támadást.

A blogbejegyzés megválaszol néhány kérdést, ugyanakkor nyitva hagy számos továbbit. A behatolást és adatlopást beismerő márciusi közleményében az RSA "kifinomult támadásról" beszélt, a beszámoló alapján azonban egy tipikus APT, azaz Advanced Persistent Threat támadásról van szó, ami nem is különösebben kifinomult, se nem új (még Wikipedia-szócikke is van) - miért nem készült fel jobban az RSA? Az is furcsa, hogy a világ egyik legnagyobb IT-biztonsági vállalatánál a kliensekre telepített végpontvédelmi megoldás nem szúrta ki a régóta ismert Poison Ivyt és a forgalma nem akadt fent a tűzfalon. Ugyanígy érthetetlen, hogy az Excel miért volt úgy konfigurálva, hogy Adobe Flash-t hajthasson végre, mint ahogy az is, hogyan engedheti meg magának az RSA, hogy a hálózatából egy külső FTP-szerverre adatok távozzanak.

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
Egy kis türelmet kérünk, töltjük a kommenteket...

Új komment írásához be kell jelentkezned!

A Fórumos azonosítódat is használhatod.

Ha még nem vagy tagunk, regisztrálj! Csak 2 perc az egész.

Tipp #1: több formázási lehetőséged van, ha a Fórumban szólsz hozzá a témához!
Tipp #2: készítettünk egy gyűjtőoldalt, ahol az összes friss kommentet megtekintheted.