JumpCloud ამბობს, რომ ნაციონალური სახელმწიფოს ჰაკერების დარღვევის მიზანმიმართული იყო მისი ზოგიერთი მომხმარებელი

AmorImpermissus-მა თქვა:

დიდი შთაბეჭდილება არ დამრჩენია JumpCloud-ის RMM-ით, მაგრამ მას გააჩნია 10 უფასო მომხმარებელი, რაც ძნელი დასამარცხებელია. უფრო მეტიც, როგორც ჩანს, მათ გააკეთეს ზუსტად ის, რაც უნდა გაეკეთებინათ მას შემდეგ, რაც შეიტყვეს დარღვევის შესახებ. ასევე ჟღერს, რომ მათი უსაფრთხოების გუნდი უკვე მოქმედებდა კიბერშეტევების ფილოსოფიის "როდის, არა თუ".

დააწკაპუნეთ გასაშლელად...

იგივე აქაც - ჩვენ ვართ პატარა ორგანიზაცია, მაგრამ მაინც უნდა დავიცვათ აუდიტორული უსაფრთხოების შაბლონები და ეს გულისხმობს მომხმარებლის კონტროლირებად წვდომას. მათი მომსახურება მყარია და მათი პასუხი ამ შეღწევაზე, როგორც ჩანს, პასუხისმგებელი, სწორი მიდგომაა.

ნებისმიერ გამყიდველს ამ სივრცეში ეყოლება მასიური სამიზნე ზურგზე და როგორც ჩანს, მათ ეს კარგად იცოდნენ და მტკიცე ჰქონდათ საპასუხო ღონისძიებები, ყველგან უამრავ აუდიტორულ კვალთან ერთად, რაც საშუალებას აძლევდა სწრაფი იდენტიფიცირებას. კლიენტებს. მე არასოდეს მომწონს ჩემი ერთ-ერთი გამყიდველის დარღვევა, მაგრამ ეს თითქმის იდეალური პასუხია (ყოველ შემთხვევაში, იმის საფუძველზე, რაც ჩვენ ვიცით) და ეს უარყოფითად არ იმოქმედებს ჩემს აზრზე მათი სერვისების შესახებ.

"მონაცემების ინექცია JumpCloud-ის ბრძანებების ჩარჩოში"​

დააწკაპუნეთ გასაშლელად...

რა თქმა უნდა, შეიძლება კოფეინის დეფიციტი მქონდეს ამჟამად, მაგრამ ეს სხვისთვის ჟღერს, როგორც სადმე პროდუქტების გაწმენდა?

(ასევე b4-ში ციტირებულია "Bobby Tables" xkcd კომიქსი)

ტომ კიდმა თქვა:

რა თქმა უნდა, შეიძლება კოფეინის დეფიციტი მქონდეს ამჟამად, მაგრამ ეს სხვისთვის ჟღერს, როგორც სადმე პროდუქტების გაწმენდა?

(ასევე b4-ში ციტირებულია "Bobby Tables" xkcd კომიქსი)

დააწკაპუნეთ გასაშლელად...

მე ვმუშაობდი კომპანიაში, რომელიც იყო (და შეიძლება იყოს) jumpcloud კლიენტი და საერთო ჯამში კარგის სათქმელი არაფერი მქონდა.

ბრძანებების ჩარჩო ბიტის ინტერპრეტაცია შესაძლებელია რამდენიმე განსხვავებული გზით, მაგრამ მოკლე ვერსია არის ის, რომ ის საშუალებას გაძლევთ გაუშვათ თვითნებური CLI, რომელიც თქვენ შედიხართ ადმინისტრატორის კონსოლში ვებ გუი-ზე და ადგილობრივი JC აგენტი არჩეულ აპარატზე (მანქანებზე) გაუშვებს ამ ბრძანებას, როგორც მომხმარებელი, რომელსაც თქვენ აირჩიეთ. სავსებით შესაძლებელია, რომ ისინი გულისხმობენ ამ ფუნქციის გამოყენებას, როგორც განზრახული ინექციის შეტევების განსახორციელებლად კლიენტის აპარატებზე.

200 ათასი ორგები საკმაოდ სოლიდურია. MSP-ის სფეროში ყოფნისას, როცა ერთ-ერთ მათგანს ვხედავ, ამას ჩემს უფროსს ვახსენებ. ამდენი კლიენტი და ამის შესახებ საჯაროდ მოხსენებული უნდა ვიფიქრო, რომ რამდენიმეს აქვს ცივი ფეხები და არის მზადაა გადახტეს გემზე, მაშინაც კი, თუ ჯამპკლუდი იყო მთლიანობაში პასუხისმგებელი და ერთი შეხედვით კომპეტენტური მათ შემდგომში. შორს.

ჩვენ ახლახან გადავედით ახალ პლატფორმაზე კასეას პლატფორმის ასაკთან და საიმედოობასთან დაკავშირებული მიზეზების გამო. კასეამ ასევე მიიღო დიდი დარღვევა რამდენიმე წლის წინ მიწოდების ჯაჭვის შეტევისგან, ასე რომ, როგორც ჩანს, არავინ არ არის თავდაჯერებული.

candyfire-მა თქვა:

ვფიქრობ, რომ კომპანია ვიყო ამ სიტუაციაში, ასევე ბუნდოვნად ვიტყოდი, რომ გავხდი ნაციონალური სახელმწიფოს მიერ მიზანმიმართული ჰაკერების მსხვერპლი.

დააწკაპუნეთ გასაშლელად...

მე ვფიქრობ, რომ შემდეგი ციტატა მათი საპასუხო ცნობიდან დიდწილად ძირს უთხრის თქვენს აზრს:

განგრძობითმა ანალიზმა აღმოაჩინა თავდასხმის ვექტორი: მონაცემთა ინექცია ჩვენს ბრძანებების ჩარჩოში. ანალიზმა ასევე დაადასტურა ეჭვები, რომ თავდასხმა იყო უკიდურესად მიზანმიმართული და შეზღუდული იყო კონკრეტული მომხმარებლებისთვის. ის, რაც ვისწავლეთ, გვაძლევდა საშუალებას შეგვექმნა და ახლა გაგვეზიარებინა ა IOC-ების სია (კომპრომისის ინდიკატორები) რომ დავაკვირდით ამ კამპანიისთვის.

დააწკაპუნეთ გასაშლელად...

ნებისმიერი წარმატებული და ვიწრო მიზანმიმართული, დიდი ალბათობით იქნება ერი/სახელმწიფო, რადგან ჰაკერები მოგებას სურს შეაგროვოს ბევრი მონაცემები, რათა გამოძალდეს კომპანიებს გადაიხადონ, რათა თავიდან აიცილონ ეს მონაცემები გაათავისუფლეს.

OTOH, ერი/სახელმწიფოები დაინტერესებულნი არიან მიიღონ წვდომის სერთიფიკატები კონკრეტული ადამიანებისთვის, რათა მიიღონ დაზვერვა იმ საიტებიდან, რომლებსაც ეს ადამიანები წვდებიან.

CTG-მ თქვა:

ამ დროს იმდენად დაღლილი ვარ, რომ როცა ვკითხულობ, რომ ეს იყო "დახვეწილი" "ეროვნული სახელმწიფო" ჰაკი, მაშინვე ვფიქრობ, რომ მარკეტინგმა დაწერა პრესრელიზი სახის გადასარჩენად და რომ ეს იყო ყველაზე ძირითადი ფიში "შეიყვანეთ თქვენი Microsoft-ის რწმუნებათა სიგელები". შესაძლებელია.

დააწკაპუნეთ გასაშლელად...

მე ვგულისხმობ, რომ აქტუალობა არის საქმე, მაგრამ როგორც განზე კომპანია, რომელშიც ვმუშაობდი 9-10 წლის წინ, იყო სამიზნე ეროვნული სახელმწიფოს მიერ. ვგულისხმობ, მე არ ვამტკიცებ რაიმე სახის სიღრმისეულ გაგებას, თუ როგორ, მაგრამ რაც შეეხება შიდა და მესამე მხარის გამომძიებლებს, რომლებიც ჩვენ გვყავდა, მთელი კომუნიკაცია გატეხილი იყო. ქვედანაყოფები, რომლებიც გამოდიოდნენ, საბოლოოდ მიჰყავდათ გარკვეული ტერიტორიებისკენ, რომლებიც დაკავშირებულია ეროვნული სახელმწიფოს სამხედროებთან და "ცნობილია", რომ გამოიყენებოდა აღნიშნული ერის სახელმწიფოების სამხედრო დაზვერვის ტიპის მიერ. დეპარტამენტები.

აღნიშნული ერი სახელმწიფო იყო კლიენტი, ვისთანაც გვქონდა საქმე და მათ იცოდნენ ყველა სახის დეტალი იმ დეტალების შესახებ, რაც მათ ნამდვილად არ უნდა სცოდნოდათ.

ეს გასული წლის Okta და Circle CI შეტევებს ჰგავს. SaaS აპებზე წვდომის მიღება, რომლებსაც აქვთ პრივილეგირებული წვდომა და ჟეტონები ამ წვდომის მოსაპოვებლად - დაფიქრდით საიდუმლოებებზე - ეს მათ აძლევს მრავალი სამეფოს გასაღებს.

რატომ დაარღვიე ერთში, როცა შეგიძლია ყველა მათგანს შეეხო.

არ ვიცი აშშ-ს/დიდი ბრიტანეთის შესახებ ან სადაც ისინი მუშაობენ, მაგრამ ვიცი, რომ მთავრობაში გვყავს ხალხი, რომელთანაც შეგვიძლია დავუკავშირდეთ, თუ ეჭვი გვეპარება, რომ რაღაც განსაკუთრებული ხდება.

ასევე, მე ვფიქრობ, რომ ეს ხაზს უსვამს იმას, თუ რამდენად მნიშვნელოვანია დაარეგისტრიროთ ყველაფერი, რაც ხდება თქვენს აპლიკაციაში და არა მხოლოდ შეცდომები. თუ არა, როგორ შეგიძლიათ ნამდვილად დარწმუნებული იყოთ, რომ "მომხმარებლის ინფორმაციაზე წვდომა არ ყოფილა" ან რასაც ჩვეულებრივ ამბობენ ორგანიზაციები, რომლებიც განიცდიან დარღვევებს?

uesc_marathon-მა თქვა:

ასე უმკლავდებით საეჭვო დარღვევას. იმოქმედეთ, უთხარით ხალხს, რა მოხდა და როგორ რეაგირებთ, მიიღეთ სიფრთხილის ზომები, დაეუფლეთ მას. შთაბეჭდილება მოახდინა. რატომ არ შეუძლიათ სხვა კომპანიებს ასე მოგვარდეს საქმეები.

დააწკაპუნეთ გასაშლელად...

მე პირადად მჯერა, რომ JumpCloud-ს ძალიან ბევრ უფასო საშვს ვაძლევთ აქ. მათ ნამდვილად არ წარმოუდგენიათ რაიმე დეტალი ან გარანტია იმის შესახებ, თუ როგორ/რატომ:

1. შუბის ფიშმა საფრთხის მოქმედი პირი გადახტა ღრუბლის ქსელის "მგრძნობიარე ნაწილამდე" მიიყვანა
   1. რა იყო შუბის ფიშის ვექტორი?
      1. .eml დანართი? შემთხვევითი URL? მავნე სიტყვის დოკუმენტი? და ა.შ?
   2. არის მათი გარემო სათანადოდ სეგმენტირებული?
      1. იყენებენ თუ არა ისინი მიკრო სეგმენტაციას, ბასტიონის მასპინძელს, უბრალო ძველ vpn-ს, ქსელს?
   3. 2fa იყო გვერდის ავლით? 2fa იყო დანერგილი?
2. რატომ შეფერხდა 22 ივნისიდან 5 ივლისამდე - არ იყო უსაფრთხოების ჯგუფი მორების გასასწორებლად? არ იყო სათანადო ხელსაწყოები მორების შესაგროვებლად და გადახედვისთვის?
3. რა პასუხს იღებენ ისინი იმის ალბათობაზე, რომ უფროსმა ინჟინერმა წარმოებაზე წვდომა მიიღო ფიშიში
   1. უფრო ვარჯიშია? უკეთესი სპამის ფილტრები? მეტი ხილვადობა EDR-ში? უკეთესი სეგმენტაცია? მინიმალური პრივილეგიების აღსრულება? დროული წვდომა / PAM მაღალი ნებართვის მქონე როლებისთვის და ა.შ.
4. იყო თუ არა მათი ბრძანებების დარღვევა პროდუქტის უკანა მხარეს, ანუ გარკვეული დაუცველობა მათი სისტემის სერვერის მხარეს?
   1. ეს ოქროს ბილეთის საკითხია? მათ არ გაასუფთავეს პროდუქტები? მიიღეს თუ არა რაიმე თვითნებური შეყვანა მას შემდეგ, რაც თქვენ იყავით "კასტის შიგნით?"
5. რა გააკეთეს თავდამსხმელებმა root დონესთან, CLI წვდომასთან (ბრძანებების პროდუქტთან) ყველა იმ კლიენტის საბოლოო წერტილზე?
   1. ჩამოაგდეს ახალი მავნე პროგრამა? (მგონი ჰეშებიდან გამომდინარე)
   2. სცადეთ c&c (ვვარაუდობ, მოწოდებული IP-ების და დომენების საფუძველზე)
   3. რატომ ვხვდები? რატომ არ იყო უფრო პირდაპირი?
6. რა გაუმჯობესება მოუწევთ მათ ბრძანებების ჩარჩოში, რათა თავიდან აიცილონ თავიანთი მომხმარებლების მასობრივი ექსპლუატაცია, ანუ კასეას სტილის პრობლემა.
   1. შესაძლოა მომხმარებელთა უკეთესი მოხსენება ან ანომალიის გამოვლენა, როგორიცაა; ჰეი, თქვენ უბრალოდ სცადეთ Powershell-ის გაშვება თქვენს ყველა ჰოსტზე და შექმნათ 2 დამწყები ჩანაწერი და სერვისი სახელად svchost.exe.
   2. შენ დაიჭირე ჩემი დრიფტი.

ვიცი, რომ ზოგიერთი დეტალი გასაიდუმლოებულია, მაგრამ ჯერჯერობით მათი პასუხი პიარზე საუბრობს და არა მნიშვნელოვან ნაწილებზე.

P.S. მე ვარ კრიტიკული, როგორც ნახტომი-ღრუბელის გულშემატკივარი; მათი თავისუფალი დონე საოცრად მეგობრულია.