A CISA invadiu uma agência federal dos EUA e ninguém percebeu por 5 meses inteiros

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) diz que um exercício de equipe vermelha em uma determinada agência federal não identificada em 2023 revelou uma série de falhas de segurança que expuseram seus ativos mais críticos.

A CISA chama essas avaliações de SILENTSHIELD. A equipe vermelha dedicada da agência escolhe uma agência do ramo executivo civil federal (FCEB) para investigar e o faz sem aviso prévio – ao mesmo tempo em que tenta simular as manobras de um grupo de ameaça de estado-nação hostil de longo prazo.

De acordo com o relato da agência sobre o exercício, a equipe vermelha conseguiu obter acesso inicial explorando uma vulnerabilidade não corrigida (CVE-2022-21587 – 9.8) no enclave Oracle Solaris da agência alvo, levando ao que foi dito ser um comprometimento total.

Vale ressaltar que o CVE-2022-21587, um bug de execução remota de código (RCE) não autenticado com uma classificação CVSS quase máxima de 9,8, foi adicionado ao catálogo de vulnerabilidades exploradas conhecidas (KEV) da CISA em fevereiro de 2023. A intrusão inicial da equipe vermelha da CISA foi feita em 25 de janeiro de 2023.

“Após obter acesso, a equipe informou prontamente os agentes confiáveis ​​da organização sobre o dispositivo sem patch, mas a organização levou mais de duas semanas para aplicar o patch disponível”, diz o relatório da CISA. “Além disso, a organização não realizou uma investigação completa dos servidores afetados, o que teria revelado IOCs e deveria ter levado a uma resposta completa ao incidente.

“Cerca de duas semanas após a equipe obter acesso, o código de exploração foi lançado publicamente em uma popular estrutura de exploração de código aberto. A CISA identificou que a vulnerabilidade foi explorada por um terceiro desconhecido. A CISA adicionou este CVE ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas em 2 de fevereiro de 2023.”

Vulnerabilidades adicionadas ao catálogo KEV significam algumas coisas. Primeiro, elas são sérias, conhecidas por serem exploradas por criminosos cibernéticos e podem levar a consequências sérias. Segundo, quando bugs são adicionados ao catálogo, eles também vêm com prazos nos quais as agências do FCEB têm que corrigi-los.

Desde a introdução do catálogo KEV, a CISA sempre foi cautelosa quanto ao grau em que as agências federais cumprem esses prazos, mas este caso mostra que eles nem sempre são cumpridos.

O registro respondeu a uma pergunta sobre o cumprimento do prazo para a diretora da CISA, Jen Easterly, no Fórum Cibernético de Oxford no mês passado, que disse, sem se referir a números específicos aos quais não tinha acesso na época, que “a conformidade é muito alta”. Além disso, uma pesquisa recente mostrou que o catálogo é ajudando também o setor privado.

Depois de obter acesso ao enclave Solaris, a equipe vermelha descobriu que não conseguia acessar a parte Windows da rede porque credenciais ausentes bloqueavam seu caminho, apesar de terem desfrutado de meses de acesso a aplicativos da web e bancos de dados confidenciais.

Sem se deixar intimidar, a CISA conseguiu entrar na rede Windows após realizar ataques de phishing em membros não identificados da agência alvo, um dos quais foi bem-sucedido.

Ele disse que os verdadeiros adversários podem ter usado ataques prolongados de requisição de senhas em vez de phishing nesta fase, visto que várias contas de serviço foram identificadas como tendo senhas fracas.

Após obter esse acesso, a equipe vermelha injetou um RAT persistente e mais tarde descobriu credenciais de administrador não seguras, o que basicamente significava que o jogo havia acabado para a agência que estava sendo avaliada.

“Nenhum dos servidores acessados ​​tinha proteções adicionais ou restrições de acesso à rede perceptíveis, apesar de sua sensibilidade e funções críticas na rede”, disse a CISA.

A CISA descreveu isso como um “comprometimento total do domínio” que deu aos invasores acesso aos ativos de nível zero – os sistemas mais privilegiados.

“A equipe encontrou um arquivo de senha deixado por um funcionário anterior em um compartilhamento de TI administrativo aberto, que continha nomes de usuários e senhas em texto simples para várias contas de serviço privilegiadas”, diz o relatório. “Com as informações coletadas do Lightweight Directory Access Protocol (LDAP), a equipe identificou que uma das contas tinha privilégios de administrador do System Center Operations Manager (SCOM) e privilégios de administrador de domínio para o domínio pai.

“Eles identificaram outra conta que também tinha permissões administrativas para a maioria dos servidores no domínio. As senhas para ambas as contas não eram atualizadas há mais de oito anos e não estavam registradas no gerenciamento de identidade (IDM) da organização.”

A partir daí, a equipe vermelha percebeu que a organização vítima tinha relações de confiança com diversas organizações externas do FCEB, e a equipe da CISA então passou a usar o acesso que já tinha.

A equipe “kerberoasted” uma organização parceira. Kerberoasting é um ataque ao protocolo de autenticação Kerberos normalmente usado em redes Windows para autenticar usuários e dispositivos. No entanto, ele não conseguiu se mover lateralmente com a conta devido a privilégios baixos, então, em vez disso, usou essas credenciais para explorar uma segunda organização parceira confiável. Kerberoasting produziu uma conta mais privilegiada na segunda organização externa, cuja senha era quebrável.

A CISA disse que, devido à propriedade da rede, acordos legais e/ou opacidade do fornecedor, esses tipos de ataques entre organizações raramente são testados durante as avaliações.

No entanto, as avaliações SILENTSHIELD podem ser realizadas seguindo novos poderes concedidos à CISA pela Lei de Autorização de Defesa Nacional (NDAA) do ano fiscal de 2021, os mesmos poderes que também permitem que o programa de testes de penetração Federal Attack Surface Testing (FAST) da CISA opere.

É crucial que essas vias possam ser exploradas em tais exercícios porque são rotas para sistemas que os adversários não terão reservas em explorar em um cenário do mundo real.

Tempo de divulgação

Durante os primeiros cinco meses da avaliação, a agência alvo do FCEB não conseguiu detectar ou remediar nenhuma atividade do SILENTSHIELD, levantando preocupações sobre sua capacidade de identificar atividades maliciosas genuínas.

Problemas de detecção foram suspeitos anteriormente nos procedimentos. O RAT, que foi injetado na fase Solaris do exercício, fez com que 8 GB de tráfego de rede fluíssem por seu C2 aparentemente sem alertar ninguém na agência, por exemplo.

Depois que a CISA finalmente tirou a agência do sofrimento, reuniões semanais foram realizadas com sua equipe de segurança e administradores de sistemas, o que levou a “melhorias mensuráveis ​​nos tempos de resposta para técnicas conhecidas e detecções baseadas em comportamento que revelaram práticas comerciais até então desconhecidas”.

Uma das principais questões discutidas na autópsia foi a coleta de registros da agência, que foi considerada “ineficaz e ineficiente”. Vários problemas impediram a capacidade da agência de coletar registros, sobre os quais você pode ler no redação completamas o comprometimento dos hosts Solaris e Windows pela CISA teve um grande impacto, pois a captura de pacotes aconteceu aqui, e assim a CISA conseguiu interromper o processo.

A agência avaliada também confiou muito em indicadores conhecidos de comprometimento (IoCs) para detectar intrusões, além de várias configurações incorretas do sistema e problemas de procedimento que dificultaram a análise da atividade da rede.

A CISA disse que o exercício demonstrou a necessidade de agências do FCEB aplicarem princípios de defesa em profundidade – múltiplas camadas de medidas de detecção e análise para máxima eficácia. A segmentação de rede foi recomendada e a equipe vermelha queria enfatizar o perigo de confiar demais em IOCS conhecidos.

Também não seria um comunicado da CISA sem uma promoção da sua seguro por design push. Ele disse que software inseguro contribui para os problemas enfrentados pela agência alvo e renovou seu apelo para acabar com senhas padrão, fornecer registro gratuito aos clientes e para que os fornecedores trabalhem com provedores de SIEM e SOAR para fazer melhor uso desses registros. ®