CISA分享事件响应参与的经验教训
摘要
网络安全和基础设施安全局(CISA)发布此网络安全公告,旨在强调CISA在美国联邦民事行政部门机构进行事件响应参与过程中学到的经验教训。CISA发布此公告是为了强调及时修补的重要性,以及通过演练事件响应计划、实施日志记录并在集中式带外位置聚合日志来为事件做好准备。CISA还旨在提高对这些网络威胁行为者所采用的战术、技术和程序的认识,以帮助组织防范类似的利用行为。
事件概述
CISA在接到联邦机构通过其端点检测与响应工具发现潜在恶意活动的警报后,启动了事件响应工作。CISA发现,威胁行为者在大约三周前通过利用GeoServer中的漏洞CVE-2024-36401入侵了该机构。在为期三周的时间里,威胁行为者通过同一漏洞获得了对第二个GeoServer的初始访问权限,并横向移动到另外两台服务器。
基于从该机构安全态势和响应中获得的洞察,CISA分享了以下经验教训,以帮助组织减轻类似的入侵风险:
-
漏洞未得到及时修复。 威胁行为者利用CVE-2024-36401获得了两个GeoServer的初始访问权限。该漏洞在威胁行为者访问第一个GeoServer前11天被披露,在访问第二个GeoServer前25天被披露。
-
机构未测试或演练其事件响应计划,且其IRP未能使其及时与第三方互动并授予第三方访问必要资源的权限。 这延迟了CISA响应中的某些环节,因为IRP中没有涉及第三方援助或授予第三方访问其安全工具的程序。
-
未持续审查EDR警报,且一些面向公众的系统缺乏端点保护。 该活动在三个星期内未被发现;机构错过了更早检测到此活动的机会,因为他们没有观察到来自GeoServer的警报,并且Web服务器没有端点保护。
这些经验教训强调了有效降低风险、增强准备和更高效响应事件的策略。CISA鼓励所有组织考虑这些经验教训,并应用本公告“缓解措施”部分的相关建议,以改善其安全状况。
技术细节
威胁行为者活动 CISA在机构的SOC观察到多个端点安全警报后,对一起疑似入侵事件做出了响应。
在事件响应过程中,CISA发现威胁行为者于2024年7月11日,通过利用面向公众的GeoServer(GeoServer 1)上的GeoServer漏洞CVE-2024-36401 [CWE-95:“Eval注入”]获得了对机构网络的访问权限。这一关键漏洞于2024年6月30日披露,允许未经身份验证的用户在受影响的GeoServer版本上获得远程代码执行能力。威胁行为者利用此漏洞下载开源工具和脚本,并在机构网络中建立持久性。
在获得对GeoServer 1的初始访问权限后,威胁行为者于2024年7月24日通过利用同一漏洞,单独获得了对第二个GeoServer(GeoServer 2)的初始访问权限。他们从GeoServer 1横向移动到Web服务器,然后是SQL服务器。在每个服务器上,他们上传(或试图上传)Web Shell(如中国菜刀)以及专为远程访问、持久化、命令执行和权限提升而设计的脚本。威胁行为者还使用了“就地取材”技术。
侦察 威胁行为者使用Burp Suite Burp Scanner识别了组织面向公众的GeoServer中的CVE-2024-36401。CISA通过分析Web日志并识别与该工具相关的签名检测到了此扫描活动。具体来说,CISA观察到与Burp Collaborator相关的域名(Burp Suite用于漏洞检测的组件)源自威胁行为者后来用于利用GeoServer漏洞进行初始访问的同一IP地址。
初始访问 为了获得对GeoServer 1和GeoServer 2的初始访问权限,威胁行为者利用了CVE-2024-36401。他们利用此漏洞通过执行“eval注入”获得RCE,这是一种允许将不受信任的用户输入作为代码进行评估的代码注入。威胁行为者可能试图加载JavaScript扩展以在GeoServer 1上获取作为Apache wicket的Web服务器信息。然而,他们的尝试可能未成功,因为CISA在Web日志中观察到尝试访问.js文件返回404响应,表明服务器找不到请求的URL。
持久化 威胁行为者主要在面向互联网的主机上使用Web Shell,以及cron作业和有效帐户进行持久化。CISA还识别出创建了帐户(尽管这些帐户后来被删除),但没有证据表明被进一步使用。
命令与控制
威胁行为者使用PowerShell和bitsadmin getfile下载Payload。
他们使用Stowaway(一种公开可用的多级代理工具)建立C2。Stowaway使威胁行为者能够绕过组织的内网限制,通过将流量从C2服务器转发到Web服务器来访问内部网络资源。他们使用tomcat服务帐户将Stowaway写入磁盘。
经验教训详述
-
漏洞未得到及时修复。
- 威胁行为者利用CVE-2024-36401在两个GeoServer上获得初始访问权限。
- 该漏洞于2024年6月30日披露,威胁行为者于2024年7月11日利用它获得对GeoServer 1的初始访问权限。
- 该漏洞于2024年7月15日被添加到CISA的已知被利用漏洞目录中,而到2024年7月24日,当威胁行为者利用它访问GeoServer 2时,该漏洞仍未修补。
-
机构未测试或演练其IRP,且其IRP未能使其及时与第三方互动并授予第三方访问必要资源的权限。
- 2024年8月1日,在发现端点警报后,该机构对受影响的系统进行了远程分类,并使用其EDR工具来遏制入侵。
- 遏制后,该机构请求CISA协助调查其环境中潜在的威胁行为者持久性。
- 他们的IRP没有引入第三方援助的程序,这阻碍了CISA快速有效响应事件的努力。
- 该机构无法为CISA提供对其SIEM工具的远程访问,这最初使CISA无法审查所有可用日志,阻碍了CISA的分析。
- 该机构必须通过其变更控制委员会流程,CISA才能部署其EDR代理。
- 该机构本可以通过测试其IRP(例如通过桌面推演)主动发现这些障碍,但已经很长时间没有测试其计划。
-
未持续审查EDR警报,且一些面向公众的系统缺乏端点保护。
- 该活动在三周内未被发现;该机构错过了在2024年7月15日检测到此活动的机会,因为他们没有观察到来自GeoServer 1的警报,而EDR在该服务器上检测到了Stowaway工具。
- Web服务器缺乏端点保护。
缓解措施
CISA建议组织实施以下缓解措施,以根据从此次事件中汲取的经验教训改善网络安全状况:
- 建立漏洞管理计划,其中包括优先级排序和紧急修补程序。
- 优先修补KEV目录中已知被利用的漏洞。CISA敦促组织立即解决KEV目录漏洞。
- 优先修补高风险系统中的漏洞,包括面向公众的系统,因为它们是威胁行为者有吸引力的目标。
- 通过实施资产管理实践和进行资产清单,确保识别高风险系统并优先进行快速修补。
- 维护、演练和更新网络安全事件响应计划。
- 制定书面的IRP政策和计划,并获得高层领导的支持。
- 计划应明确识别关键人员、关键资源、遏制和根除的行动方案,以及授予第三方及时访问网络和安全工具的程序。
- 定期在真实条件下测试IRP,例如通过紫队演练和桌面推演。
- 实施全面且详细的日志记录,并将日志聚合在带外的集中位置。
- 为SOC配备足够的资源来监控收集的日志并响应恶意网络威胁活动。
- 考虑使用SIEM解决方案进行日志聚合和管理。
- 识别、警报并调查异常网络活动。
- 要求对访问所有特权帐户和电子邮件服务帐户实施防网络钓鱼的多因素认证。
- 为应用程序、脚本和网络流量实施允许列表,以防止未经授权的执行和访问。
验证安全控制
CISA建议根据本公告中映射到MITRE ATT&CK企业框架的威胁行为,来演练、测试和验证您组织的安全计划。CISA建议测试您现有的安全控制清单,以评估它们如何应对本公告中描述的ATT&CK技术。
资源
- 事件响应计划基础
- 识别和缓解就地取材技术
- 防网络钓鱼的多因素认证成功案例:美国农业部的FIDO实施
附录:关键事件时间线
| 日期/时间 | 相关主机 | 事件 |
|---|---|---|
| 2024年7月1日 | n/a | CVE-2024-36401发布。 |
| 2024年7月11日 | GeoServer 1 | 对GeoServer 1的初始访问。 |
| 2024年7月15日 | n/a | CVE-2024-36401添加到CISA的KEV目录。 |
| 2024年7月15日 | GeoServer 1 | EDR在GeoServer 1上检测到Stowaway工具。 |
| 2024年7月24日 | GeoServer 2 | 对GeoServer 2的初始访问。 |
| 2024年7月31日 | Web Server | 对Web Server的初始访问。 |
| 2024年7月31日 | SQL Server | 对SQL Server的初始访问。 |
| 2024年8月1日 | SQL Server, GeoServer 1 | 组织观察到SQL警报并遏制SQL Server和GeoServer 1。 |
| 2024年8月1日 | n/a | 受影响组织请求CISA协助。 |
| 2024年8月5日 | n/a | CISA开始取证分析。 |
| 2024年8月6日 | GeoServer 2 | 最后观察到的威胁行为者活动——GeoServer 2上的发现命令。 |
| 2024年8月8日-9月3日 | n/a | CISA进行全面事件响应。 |