:

Szerző: Bodnár Ádám

2011. április 6. 10:21

A Flash sebezhetőségét használták ki az RSA támadói

Az EMC biztonsággal foglalkozó leányvállalathoz az Adobe Flash javítatlan sebezhetőségét kihasználva jutottak be támadók. A támadás történetét taglaló leírás számos kérdést felvet.

Március második felében internetes támadás érte az EMC biztonsági leányvállalatát, az RSA-t, amelynek során a SecurID kétfaktoros azonosítással kapcsolatos információkat is zsákmányoltak. A vállalatnál még folyik a vizsgálat, továbbra sem tudni, milyen adatok kerülhettek illetéktelen kezekbe, de egy blogbejegyzésből már tudjuk, a támadók hogyan jutottak be. Uri Rivner, az RSA biztonsági főnöke számos információt nyilvánosságra hozott a március közepén történt incidensről, amelyek nem tüntetik fel jó színben az RSA-t.

A leírás szerint a támadók valószínűleg közösségi oldalon választották ki áldozataikat, akiknek az e-mail címére két nap alatt két különféle adathalász levelet küldtek. Ezek a levelek látszólag 2011-es munkaerő-toborzási terveit tárgyalták, a levélszemét-szűrő kéretlennek is nyilvánította őket. Az egyik RSA-alkalmazottat mégis sikerült megtéveszteni, aki a kéretlen leveleket tartalmazó mappában rábukkant a levélre, megnyitotta a csatolt Excel állományt, amely az Adobe Flash egy akkor még foltozatlan sebezhetőségét kihasználva backdoort telepített a gépre. A Poison Ivy egyik variánsa reverse-connect módban használva lehetővé tette a támadók számára a távoli hozzáférést, a támadók pedig elkezdtek további információkat gyűjteni - hogy mennyi ideig volt bejárásuk, azt Rivner nem árulta el.

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Ezt követően a bűnözők folyamatosan haladtak a céljuk felé, vagyis a magasabb jogosultsággal rendelkező felhasználók becserkészése irányába, amihez többek között szerveradminok hozzáférési információit is megszerezték. A harmadik, utolsó fázisban a támadók a megfelelő szervereken birtokába jutottak a keresett adatoknak, amelyeket egy közbülső, de még az RSA-nél található "staging" szerverre továbbítottak, jelszóval védett RAR állományokba tömörítettek, majd egy külső internetszolgáltató feltört szerverére FTP-ztek. A blogbejegyzés szerint az RSA ebben a fázisban észlelte a támadást.

A blogbejegyzés megválaszol néhány kérdést, ugyanakkor nyitva hagy számos továbbit. A behatolást és adatlopást beismerő márciusi közleményében az RSA "kifinomult támadásról" beszélt, a beszámoló alapján azonban egy tipikus APT, azaz Advanced Persistent Threat támadásról van szó, ami nem is különösebben kifinomult, se nem új (még Wikipedia-szócikke is van) - miért nem készült fel jobban az RSA? Az is furcsa, hogy a világ egyik legnagyobb IT-biztonsági vállalatánál a kliensekre telepített végpontvédelmi megoldás nem szúrta ki a régóta ismert Poison Ivyt és a forgalma nem akadt fent a tűzfalon. Ugyanígy érthetetlen, hogy az Excel miért volt úgy konfigurálva, hogy Adobe Flash-t hajthasson végre, mint ahogy az is, hogyan engedheti meg magának az RSA, hogy a hálózatából egy külső FTP-szerverre adatok távozzanak.

Eleged van az eltérő környezetekből és az inkonzisztens build eredményekből? Frusztrál, hogy órákat kell töltened új fejlesztői környezetek beállításával? Többek között erről is szó lesz az AWS hazai online meetup-sorozatának negyedik, december 12-i állomásán.

a címlapról