CISA проникла в федеральное агентство США. Никто не замечал этого 5 месяцев

Учения "красной команды" 2023 года, проведенные Агентством кибербезопасности и защиты инфраструктуры США (CISA) в неназванном федеральном агентстве, выявили серьезные уязвимости, включая непропатченные системы, слабое управление учетными данными и неадекватное реагирование на инциденты, что в итоге привело к полной компрометации домена.

По словам Коннора Джонса из The Register, агентство не смогло обнаружить или смягчить последствия "вредоносной активности" в течение пяти месяцев. Взлом начался 25 января 2023 года, когда "красная команда" использовала непропатченную уязвимость (CVE-2022-21587) в системе Oracle Solaris агентства, получив первоначальный доступ. Несмотря на оперативное уведомление агентства, на применение необходимого патча ушло более двух недель. После этого команда получила доступ к важным веб-приложениям и базам данных, а затем проникла в сеть с помощью фишинговых атак.

Оказавшись внутри, команда обнаружила незащищенные учетные данные администратора и файл паролей, содержащий имена пользователей и пароли в открытом виде, что привело к полной компрометации домена. Используя эти учетные данные, они проникли во внешние партнерские организации.

В отчете CISA отмечается, что агентство не обнаруживало подозрительную активность в течение пяти месяцев, что "подчеркивает необходимость совершенствования средств защиты".