რა უნდა ვიცოდეთ ToolShell-ის შესახებ — SharePoint-ის საფრთხე, რომელსაც მასობრივად იყენებენ

მარტივი ექსპლუატაცია. არაავტორიზებული წვდომა. მასიური გავრცელება. ToolShell-ს ყველაფერი აქვს.

სამთავრობო უწყებები და კერძო სექტორი ბოლო ოთხი დღის განმავლობაში ალყაშია მოქცეული, მას შემდეგ, რაც აღმოჩნდა, რომ Microsoft-ის მიერ შექმნილ, დოკუმენტების გასაზიარებლად ფართოდ გამოყენებად აპლიკაცია SharePoint-ში კრიტიკული მოწყვლადობის მასობრივი ექსპლუატაცია მიმდინარეობს.

ქვემოთ მოცემულია პასუხები ზოგიერთ ყველაზე გავრცელებულ კითხვაზე მოწყვლადობისა და მისი მიმდინარე ექსპლუატაციის შესახებ, რომელსაც ექსპერტები ერთობლივად ToolShell-ს უწოდებენ.

რა არის ცნობილი ამ დროისთვის?

კითხვა: რა არის SharePoint-ი?

პასუხი: SharePoint-ი არის სერვერული პროგრამული უზრუნველყოფა, რომელსაც კომპანიები შიდა დოკუმენტების შესანახად, სამართავად, გასაზიარებლად და მათზე ერთობლივად სამუშაოდ იყენებენ, როგორც წესი, ორგანიზაციის ინტრანეტის ფარგლებში. Microsoft-ი მას 2001 წლიდან ყიდის. 2020 წელს კომპანიამ განაცხადა, რომ SharePoint-ს 200 მილიონი მომხმარებელი ჰყავდა, გასულ წელს კი მას 400,000-ზე მეტი ორგანიზაცია იყენებდა, მათ შორის Fortune 500-ის კომპანიების დაახლოებით 80%.

კითხვა: მაშ, რა არის მოწყვლადობა?

პასუხი: მოწყვლადობა, რომელიც ფორმალურად აღინიშნება, როგორც CVE-2025-53770, იძლევა კოდის არაავტორიზებულ დისტანციურ შესრულებას SharePoint-ის სერვერებზე. ექსპლუატაციის სიმარტივის, მის მიერ გამოწვეული ზიანისა და მიმდინარე აქტიური შეტევების გამო, მას სირთულის რეიტინგი 10-დან 9.8 მიენიჭა. ის პირველად შაბათს, უსაფრთხოების ფირმა Eye Security-მ აღმოაჩინა. ოთხშაბათს, Eye Security-მ დააზუსტა, რომ კომპრომეტირებული სისტემების რიცხვი 400-მდე გაიზარდა. Bloomberg-ის ინფორმაციით, დაზარალებულთა შორის აშშ-ის ეროვნული ბირთვული უსაფრთხოების ადმინისტრაციის ქსელიც მოხვდა. Microsoft-ის თქმით, ექსპლუატაცია 7 ივლისს, ნულოვანი დღის მოწყვლადობის სახით, დაიწყო.

კითხვა: ვინ იყენებს ამ მოწყვლადობას?

პასუხი: Microsoft-ის განცხადებით, მათ აქტიური ექსპლუატაცია სამი ცალკეული ჯგუფის მხრიდან დააფიქსირეს, რომელთაგან ყველა ჩინეთის მთავრობასთანაა დაკავშირებული. ერთ-ერთი მათგანი — Linen Typhoon — შპიონაჟულ შეტევებს ახორციელებს ინტელექტუალური საკუთრების მოსაპოვებლად. მეორეა Violet Typhoon, რომელიც შპიონაჟის უფრო ტრადიციულ ფორმებს მიმართავს. მესამე ჯგუფი, Storm-2603, წარსულში გამოსასყიდი პროგრამებით განხორციელებულ შეტევებთან იყო დაკავშირებული.

კითხვა: რატომ ჰქვია მოწყვლადობას ToolShell-ი?

პასუხი: ToolShell-ი ეწოდა მოწყვლადობების წყვილს, რომელიც მაისში, ბერლინში, Pwn2Own-ის ჰაკერულ შეჯიბრზე იქნა დემონსტრირებული. სახელი მკვლევარმა დინ ჰო ანმა შექმნა, რადგან ექსპლოიტი იყენებდა ToolPane.aspx-ს, SharePoint-ის ინტერფეისის გვერდითი პანელის კომპონენტს. Microsoft-მა ეს თავდაპირველი მოწყვლადობები ორი კვირის წინ დააპატჩა, მაგრამ, როგორც შაბათ-კვირას გაირკვა, პატჩები არასრული იყო, რამაც მთელი მსოფლიოს ორგანიზაციები ახალი შეტევების წინაშე დაუცველი დატოვა.

კითხვა: რა სახის მავნე ქმედებებს ახორციელებენ თავდამსხმელები ამ ახალი ToolShell ექსპლოიტებით?

პასუხი: მრავალი ტექნიკური ანალიზის თანახმად, თავდამსხმელები პირველ რიგში აინფიცირებენ სისტემებს ვებშელზე დაფუძნებული ბექდორით, რომელიც SharePoint Server-ის ყველაზე მგრძნობიარე ნაწილებზე იღებს წვდომას. იქიდან ვებშელს ამოაქვს ტოკენები და სხვა ავტორიზაციის მონაცემები, რომლებიც თავდამსხმელებს ადმინისტრაციული პრივილეგიების მოპოვების საშუალებას აძლევს, მაშინაც კი, როდესაც სისტემები მრავალფაქტორიანი ავთენტიფიკაციითაა დაცული. შიგნით მოხვედრის შემდეგ, თავდამსხმელები იპარავენ მგრძნობიარე მონაცემებს და ნერგავენ დამატებით ბექდორებს, რომლებიც სამომავლო გამოყენებისთვის მუდმივ წვდომას უზრუნველყოფს.

კითხვა: მე ვმართავ ლოკალურ SharePoint სერვერს. რა უნდა გავაკეთო?

პასუხი: მოკლედ, მიატოვეთ ყველაფერი და დრო დაუთმეთ თქვენი სისტემის გულდასმით შემოწმებას.

1. დაუყოვნებლივ დააყენეთ პატჩი: პირველ რიგში, შეამოწმეთ, მიიღო თუ არა თქვენმა სისტემამ Microsoft-ის მიერ შაბათს გამოშვებული საგანგებო პატჩები. თუ არა, დააყენეთ ისინი დაუყოვნებლივ.

2. პატჩის დაყენება მხოლოდ პირველი ნაბიჯია: ვინაიდან დაინფიცირებული სისტემები კომპრომეტაციის მცირე ნიშნებს ან საერთოდ არანაირ ნიშნებს არ აჩვენებს, შემდეგი ნაბიჯი არის სისტემის ლოგების დეტალური შესწავლა კომპრომეტაციის ინდიკატორების საპოვნელად.

3. მოიძიეთ ინდიკატორები: ეს ინდიკატორები შეგიძლიათ იხილოთ მრავალ ანგარიშში, მათ შორის Microsoft-ის, Eye Security-ს, აშშ-ის კიბერუსაფრთხოების სააგენტოს (CISA) და ისეთი უსაფრთხოების ფირმების ვებგვერდებზე, როგორებიცაა Sentinel One, Akamai და Palo Alto Networks.

ITNEWS-ის მეგობარი ვებ-გვერდია ITJOBS.GE. ITJOBS.GE-ზე ორგანიზაციებს და ფიზიკურ პირებს, აქვთ საშუალება განათავსონ როგორც ვაკანსები, ტრენინგები და ივენთები ასევე კონკრეტული Tech დავალებები, რისთვისაც ეძებენ დეველოპერებს, დიზაინერებს, სეო სპეციალისტებს და ა.შ. ITJOBS.GE - იპოვე დასაქმების საუკეთესო შესაძლებლობები ან გამოაქვეყნე ვაკანსია / დავალება და მიაწვდინე ხმა სასურველ აუდიტორიას.