Атаку на українські урядові сайти могли провести через вразливість CMS
У ніч з 13 на 14 січня 2022 року сайти багатьох українських відомств не працювали через хакерську атаку — дефейс (коли головну сторінку підміняють іншою, або якимсь повідомленням). На момент публікації деякі сайти досі недоступні.
Можливий спосіб проведення атаки — вразливість безкоштовної CMS-системи OctoberCMS. Про це пише американська журналістка-розслідувач Кім Зеттер, автор книги про атаку ядерні об’єкти Ірана Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon. Редакція AIN.UA першою розповідає, про що мова.
Що відомо про атаку
Від атаки постраждали кілька сайтів українських міністерств та державних сервісів, зокрема: Міністерства цифрової трансформації, Міністерства освіти, Міністерства закордонних справ, портал «Дія» та інші. Останній на момент публікації досі віддає помилку 503, хоча додаток «Дія» працює штатно.
За словами депутата Олександра Федієнка, заступника голови Комітету та голови підкомітету цифрової та смарт-інфраструктури, електронних комунікацій, кібербезпеки та кіберзахисту Комітету ВР з цифрової трансформації, хакери змогли тільки поміняти головні сторінки, а не отримати доступ до реєстрів та баз даних:
В Мінцифри також заявили, що контент сайтів внаслідок атаки залишився без змін, і витоку персональних даних не відбулося. Усі сайти мають відновити роботу найближчим часом. З подібною заявою виступила і Урядова команда реагування на комп’ютерні надзвичайні події CERT-UA.
Що відомо про вразливість OctoberCMS
OctoberCMS — це безкоштовна система для керування контентом сайту. Журналістка Кім Зеттер посилається на джерело, за яким атаку здійснили через вразливість саме у цій системі. Про вразливість CVE-2021-32648 було відомо з минулого року (прочитати детальніше). Через неї хакери могли надсилати запит на скидання пароля від акаунту в цій системі, а потім отримували до неї доступ. Оновлення до програми, що закриває цю вразливість, вийшло ще у вересні 2021 року.
І, на думку експертів з кібербезпеки, IT-співробітники українських відомств могли просто вчасно не оновити програму, до версії без цієї вразливості.
На його думку, ця атака ймовірно не матиме серйозних наслідків: «Якщо це лише дефейси, і напевно це саме так, то пощастило».
З таким трактуванням подій згоден й інший експерт з кібербезпеки, який захотів лишитися анонімним:
Декілька незалежних один від одного кіберекспертів розповіли AIN.UA, що схоже, проблема дійсно у невчасному оновлені.
Читайте також: