Kompromitovan server preduzetničkog portala - WebShell omogućio pristup svim podacima
Mali biznis portal preduzetstva.gov.rs kompromitovan webshell-om, procureli osetljivi podaci - server nedostupan od juče.
SrbijaŠta se desilo?
Inforamtivni portal Mali biznis (informator.preduzetnistvo.gov.rs) je heovan preko webshella umenutog na server koji hostuje Telekom Srbije. Napadač je dobio pristup osjetljivim podacima uključujući konfiguraciju baze (env datoteke), privatne ključeve servera i kompletan izvorni kod aplikacije. Pronalazač je incident prijavio republičkom CERTu, ali nije dobio odgovor, a nakon kontaktiranja razvojne kompanije server je prestao biti dostupan.
Koga pogađa?
Rizik je pretežno usmeren na vlasnike naloga ili osobe čiji su podaci evidentirani u bazi preduzetničkog portala. Takođe su pogođeni zaposleni u Kancelariji za IT i eUpravu (ITE) čiji mejl serveri mogu biti iskorišćeni za dalje napadе. Šira posledica je ozbiljna reputacijska šteta za državu i poverenje korisnika u vladine onlajn usluge.
Kako se zaštititi?
- Ako ste koristili preduzetni portal za registraciju, promenite lozinke na svim povezanim nalozima
- Pratite svoju kreditnu karticu i bankovni racun - mogući su pokušaji zloupotrebe ličnih podataka
- Aktivirajte dvofaktorsku autentifikaciju na svim važnim nalozima
- Proverite da li su vaši podaci procureli korišćenjem servisa kao što je Have I Been Pwned
- Institucije trebaju da provere svoje logove i tragove neobičnih aktivnosti na serverima
Tehnički detalji
Webshell je pronađen u datoteci nokcli.php koja se maskira kao WordPress plugin ITE (Kancelarije za IT i eUpravu). Dodatne štetne datoteke identifikovane su: base64cli.php, tunnel.nosocket.php, tunnel.php i tunnel1.php. Python skener portova je takođe umenut i aktiviran za skeniranje lokalnog mrežnog segmenta (LAN). Server se nalazi na IP adresi 93.87.76.230 (ts915208mbi20221.moji.oblaci.rs), a mejl infrastruktura je dostupna na 195.222.96.31. Kompromitacija je najverovatnije izvršena kroz ranjivost u samoj aplikaciji.
Preporuka Sajber Radara
Ovaj incident je signal upozorenja za sve vladine institucije - redovna bezbednosna revizija, brzo ažuriranje softvera i operativna saradnja sa CERT timovima su neophodne. Čini se da Republika CERT nije reagovao na prijavu, što je kritična propust koji treba hitno rešiti kako bi se sprečila budućih incidenata.
