यूएस साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (सीआईएसए) का कहना है कि एक निश्चित अज्ञात संघीय एजेंसी में 2023 रेड टीम अभ्यास में सुरक्षा उल्लंघनों की एक श्रृंखला का पता चला, जिसने इसकी सबसे महत्वपूर्ण संपत्तियों को उजागर किया।
सीआईएसए इन आकलनों को साइलेंटशील्ड कहता है। एजेंसी की समर्पित रेड टीम जांच के लिए एक संघीय नागरिक कार्यकारी एजेंसी (एफसीईबी) का चयन करती है और बिना किसी पूर्व सूचना के ऐसा करती है – यह सब एक दीर्घकालिक शत्रुतापूर्ण राज्य खतरा समूह के युद्धाभ्यास का अनुकरण करने का प्रयास करते हुए।
एजेंसी के अभ्यास के विवरण के अनुसार, रेड टीम एक अप्रकाशित भेद्यता का फायदा उठाकर प्रारंभिक पहुंच प्राप्त करने में सक्षम थी (सीवीई-2022-21587 – 9.8) लक्ष्य एजेंसी के ओरेकल सोलारिस एन्क्लेव में, जिसके परिणामस्वरूप इसे पूर्ण समझौता कहा गया।
ध्यान दें, CVE-2022-21587, एक अप्रमाणित रिमोट कोड निष्पादन (RCE) बग, जिसकी CVSS रेटिंग अधिकतम 9.8 के करीब है, को फरवरी 2023 में CISA की ज्ञात शोषित कमजोरियाँ (KEV) कैटलॉग में जोड़ा गया है। प्रारंभिक CISA रेड 25 जनवरी 2023 को टीम की घुसपैठ हुई.
“पहुंच प्राप्त करने के बाद, टीम ने तुरंत संगठन के विश्वसनीय एजेंटों को अनपैच किए गए डिवाइस के बारे में सूचित किया, लेकिन संगठन को उपलब्ध पैच को लागू करने में दो सप्ताह से अधिक समय लग गया।” “इसके अतिरिक्त, संगठन प्रभावित सर्वरों की गहन जांच करने में विफल रहा, जिससे आईओसी का पता चल जाता और पूरी घटना पर प्रतिक्रिया मिलनी चाहिए थी।
“टीम तक पहुंच प्राप्त करने के लगभग दो सप्ताह बाद, शोषण कोड सार्वजनिक रूप से एक लोकप्रिय ओपन सोर्स शोषण ढांचे में जारी किया गया था। सीआईएसए ने पहचाना कि अज्ञात तीसरे पक्ष द्वारा भेद्यता का फायदा उठाया गया था। सीआईएसए ने इस सीवीई को 2 फरवरी, 2023 को ज्ञात शोषित कमजोरियों की अपनी सूची में जोड़ा।
केईवी कैटलॉग में जोड़ी गई कमजोरियों का कई मतलब है। सबसे पहले, वे गंभीर हैं, साइबर अपराधियों द्वारा शोषण किए जाने के लिए जाने जाते हैं और गंभीर परिणाम दे सकते हैं। फिर, जब कैटलॉग में बग जोड़े जाते हैं, तो वे समय सीमा के साथ भी आते हैं जिसके भीतर एफसीईबी एजेंसियों को उन्हें ठीक करना होगा।
केईवी कैटलॉग की शुरुआत के बाद से, सीआईएसए हमेशा इस बात को लेकर सतर्क रहा है कि संघीय एजेंसियां इन समयसीमाओं को किस हद तक पूरा करती हैं, लेकिन इस मामले से पता चलता है कि वे हमेशा पूरी नहीं होती हैं।
रजिस्टर सीआईएसए के निदेशक जेन ईस्टरली से समय सीमा पूरी करने के बारे में एक प्रश्न पूछा ऑक्सफोर्ड साइबर फोरम पिछले महीने, उन्होंने उन विशिष्ट आंकड़ों का जिक्र किए बिना कहा, जिन तक उस समय उनकी पहुंच नहीं थी, कि “अनुपालन दर बहुत अधिक है।” इसके अतिरिक्त, एक हालिया सर्वेक्षण से पता चला है कि कैटलॉग है निजी क्षेत्र की भी मदद करें.
सोलारिस एन्क्लेव तक पहुंच प्राप्त करने के बाद, रेड टीम को पता चला कि वे नेटवर्क के विंडोज हिस्से में नहीं जा सकते क्योंकि संवेदनशील वेब अनुप्रयोगों और डेटाबेस तक पहुंच के महीनों के बावजूद, लापता क्रेडेंशियल्स ने उनका रास्ता अवरुद्ध कर दिया है।
निडर होकर, CISA ने प्रदर्शन के बाद सफलतापूर्वक विंडोज़ नेटवर्क में प्रवेश किया फ़िशिंग हमले लक्षित एजेंसी के अज्ञात सदस्यों पर, जिनमें से एक सफल रहा।
उन्होंने कहा कि वास्तविक विरोधियों ने इस बिंदु पर फ़िशिंग के बजाय लंबे समय तक पासवर्ड स्प्रेइंग हमलों का इस्तेमाल किया हो सकता है, यह देखते हुए कि कई सेवा खातों की पहचान की गई है कमजोर पासवर्ड.
इस पहुंच को प्राप्त करने के बाद, रेड टीम ने लगातार आरएटी को इंजेक्ट किया और बाद में असुरक्षित प्रशासक क्रेडेंशियल्स की खोज की, जिसका अनिवार्य रूप से मूल्यांकन की जा रही एजेंसी के लिए खेल खत्म हो गया था।
सीआईएसए ने कहा, “नेटवर्क में उनकी संवेदनशीलता और महत्वपूर्ण कार्यों के बावजूद एक्सेस किए गए किसी भी सर्वर में उल्लेखनीय अतिरिक्त सुरक्षा या नेटवर्क एक्सेस प्रतिबंध नहीं था।”
सीआईएसए ने इसे “पूर्ण डोमेन समझौता” के रूप में वर्णित किया, जिसने हमलावरों को शून्य-स्तरीय संपत्तियों, यानी सबसे विशेषाधिकार प्राप्त प्रणालियों तक पहुंच प्रदान की।
रिपोर्ट में कहा गया है, “टीम को एक खुले प्रशासनिक कंप्यूटर शेयर पर एक पूर्व कर्मचारी द्वारा छोड़ी गई एक पासवर्ड फ़ाइल मिली, जिसमें कई विशेषाधिकार प्राप्त सेवा खातों के लिए स्पष्ट टेक्स्ट उपयोगकर्ता नाम और पासवर्ड थे।” “लाइटवेट डायरेक्ट्री एक्सेस प्रोटोकॉल (एलडीएपी) पर एकत्र की गई जानकारी का उपयोग करते हुए, टीम ने उन खातों में से एक की पहचान की जिनके पास सिस्टम सेंटर ऑपरेशंस मैनेजर (एससीओएम) प्रशासक विशेषाधिकार और डोमेन पैरेंट के लिए डोमेन प्रशासक विशेषाधिकार थे।
“उन्होंने एक अन्य खाते की पहचान की जिसके पास डोमेन के अधिकांश सर्वरों के लिए प्रशासनिक अनुमतियाँ भी थीं। दोनों खातों के पासवर्ड आठ वर्षों से अधिक समय से अपडेट नहीं किए गए थे और संगठन की पहचान प्रबंधन (आईडीएम) प्रणाली में दर्ज नहीं किए गए थे। »
वहां से, रेड टीम को एहसास हुआ कि पीड़ित संगठन के कई बाहरी एफसीईबी संगठनों के साथ भरोसेमंद रिश्ते थे, जिसका इस्तेमाल सीआईएसए टीम ने पहले से मौजूद पहुंच का उपयोग करके किया।
टीम ने एक भागीदार संगठन को “केर्बेरोस्टेड” कर दिया। Kerberoasting Kerberos प्रमाणीकरण प्रोटोकॉल पर एक हमला है जो आमतौर पर उपयोगकर्ताओं और उपकरणों को प्रमाणित करने के लिए विंडोज़ नेटवर्क में उपयोग किया जाता है। हालाँकि, कम विशेषाधिकारों के कारण वह खाते के साथ आगे बढ़ने में असमर्थ थी, इसलिए उसने दूसरे विश्वसनीय भागीदार संगठन का लाभ उठाने के लिए उन क्रेडेंशियल्स का उपयोग किया। केर्बेरोस्टिंग ने दूसरे बाहरी संगठन में अधिक विशेषाधिकार प्राप्त खाता प्राप्त करना संभव बना दिया, जिसका पासवर्ड क्रैक करने योग्य था।
सीआईएसए ने कहा कि नेटवर्क स्वामित्व, कानूनी समझौतों और/या विक्रेता की अस्पष्टता के कारण, मूल्यांकन में इस प्रकार के अंतर-संगठनात्मक हमलों का शायद ही कभी परीक्षण किया जाता है।
हालाँकि, वित्त वर्ष 2011 के लिए राष्ट्रीय रक्षा प्राधिकरण अधिनियम (एनडीएए) द्वारा सीआईएसए को दिए गए नए प्राधिकरणों के माध्यम से साइलेंटशील्ड मूल्यांकन आयोजित किया जा सकता है, वही प्राधिकरण जो सीआईएसए के फेडरल अटैक सरफेस टेस्टिंग (फास्ट) सीआईएसए को काम करने में सक्षम बनाते हैं।
यह महत्वपूर्ण है कि इस तरह के अभ्यासों में इन रास्तों का पता लगाया जा सकता है, क्योंकि वे उन प्रणालियों तक पहुंच के रास्ते बनाते हैं जिन्हें वास्तविक परिदृश्य में तलाशने में विरोधियों को संकोच नहीं होगा।
प्रकटीकरण का समय
मूल्यांकन के पहले पांच महीनों के दौरान, लक्षित एफसीईबी एजेंसी किसी भी साइलेंटशील्ड गतिविधि का पता लगाने या उसका निवारण करने में विफल रही, जिससे वास्तविक दुर्भावनापूर्ण गतिविधि को पहचानने की उसकी क्षमता के बारे में चिंताएँ बढ़ गईं।
अभ्यास में पहले से ही जांच संबंधी समस्याओं का संदेह था। आरएटी, जिसे अभ्यास के सोलारिस चरण में इंजेक्ट किया गया था, ने 8 जीबी नेटवर्क ट्रैफ़िक को इसके सी2 से गुजरने का कारण बना दिया, उदाहरण के लिए, एजेंसी के भीतर किसी को भी सचेत किए बिना।
सीआईएसए द्वारा अंततः एजेंसी की पीड़ा को समाप्त करने के बाद, इसकी सुरक्षा टीम और सिस्टम प्रशासकों के साथ साप्ताहिक बैठकें आयोजित की गईं, जिसके कारण “ज्ञात तकनीकों और व्यवहार-आधारित पहचानों के लिए प्रतिक्रिया समय में मापने योग्य सुधार हुए, जिससे पहले से अज्ञात तकनीकों का पता चला।”
पोस्टमार्टम के दौरान उठाए गए मुख्य मुद्दों में से एक एजेंसी का लॉग का संग्रह था, जिसे “अप्रभावी और अक्षम” पाया गया था। विभिन्न मुद्दों ने एजेंसी की लॉग एकत्र करने की क्षमता में बाधा उत्पन्न की है, जिसका विवरण आप यहां पढ़ सकते हैं पूर्ण लेखनलेकिन सोलारिस और विंडोज होस्ट के साथ सीआईएसए के समझौते का एक महत्वपूर्ण प्रभाव पड़ा क्योंकि पैकेट कैप्चर यहां हुआ था, और सीआईएसए इस प्रक्रिया को बाधित करने में सक्षम था।
मूल्यांकन की गई एजेंसी ने घुसपैठ का पता लगाने के लिए समझौते के ज्ञात संकेतकों (आईओसी) पर बहुत अधिक निर्भरता रखी, और विभिन्न सिस्टम कॉन्फ़िगरेशन त्रुटियों और प्रक्रियात्मक मुद्दों ने नेटवर्क गतिविधि के विश्लेषण में बाधा उत्पन्न की।
सीआईएसए ने कहा कि अभ्यास ने एफसीईबी एजेंसियों को रक्षा के सिद्धांतों को गहराई से लागू करने की आवश्यकता को प्रदर्शित किया – अधिकतम प्रभावशीलता के लिए पहचान और विश्लेषण उपायों की कई परतें। नेटवर्क विभाजन की सिफारिश की गई थी और रेड टीम ज्ञात आईओसीएस पर अत्यधिक निर्भरता के खतरे को उजागर करना चाहती थी।
न ही इसके विज्ञापन के बिना यह सीआईएसए की प्रेस विज्ञप्ति होगी डिज़ाइन द्वारा सुरक्षित उन्होंने कहा कि असुरक्षित सॉफ्टवेयर लक्षित एजेंसी के सामने आने वाली समस्याओं में योगदान देता है और डिफ़ॉल्ट पासवर्ड को खत्म करने, ग्राहकों को मुफ्त लॉगिंग प्रदान करने और विक्रेताओं को इन लॉग का बेहतर उपयोग करने के लिए एसआईईएम प्रदाताओं और एसओएआर के साथ काम करने की आवश्यकता के लिए अपना आह्वान दोहराया। ®
