Exercício red team da CISA deteta vulnerabilidades críticas

O exercício SILENTSHIELD, realizado em 2023 por parte da Cibersecurity & Infrastructure Security Agency (CISA), revelou que uma entidade federal não identificada não foi capaz de bloquear e identificar atividades maliciosas, apresentou uma lacuna na segmentação de rede, não recolhia os registos adequados e tinha uma estratégia de deteção conhecida como má.

O exercício começou com o acesso ao enclave Solaris do setor executivo através da exploração de uma falha não corrigida do Oracle Web Applications Desktop Integrator que levou à execução remota de código sem autenticação (CVE-2022-21587).

A exploração bem-sucedida da falha deu acesso a um servidor de aplicações backend que processa os pedidos provenientes do servidor Web que pode ser consultado na Internet e que permitiu a implementação de uma ferramenta Python segura de acesso remoto (RAT).

O acesso ao servidor permitiu à red team a extração de credenciais de uma conta com serviços privilegiados e estabelecer uma ligação SSH. Através do acesso a partir do administrador local, a equipa conseguiu deslocar-se em grande parte do segmento de rede por meio de SSH.

A equipa também implementou diversos RAT em vários servidores que autorizavam o acesso externo através da internet e descobriu que a agência federal não possuía firewalls de camada para serem capazes de detetar e bloquear o tráfego ilegal.

Apesar da conta não fornecer acesso privilegiado a todos os anfitriões de rede, a equipa identificou um serviço de exploração de segurança de redes que entrava regularmente num anfitrião interno apenas através da password e que se conectava a outros anfitriões através do SSH.

“A password recolhida permitia um acesso privilegiado sem restrições ao enclave Solaris”, o que facilitou “meses de acesso contínuo a sistemas críticos, incluindo aplicações Web e bases de dados”, lê-se no relatório da CISA sobre o exercício.