Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal zprávu, ve které varuje před zvýšenou hrozbou kyberútoků a špionáží.
NÚKIB tuto hrozbu z hlediska pravděpodobnosti hodnotí na úrovni „Kritická“, tedy hrozba je velmi pravděpodobná až téměř jistá.
Vojenský konflikt může poskytnout „pevnou půdu“ a pocit nepostihnutelnosti skupinám i jednotlivcům, kteří provádějí kybernetické útoky. Očekáváme tedy zvýšené množství kyberútoků i do ČR.
Kompletní zpráva NÚKIB zde.
Bezpečnostní doporučení proti kyberútokům
1) Doporučení na základě zprávy NÚKIB
Provést aktualizace informačních systémů a jejich komponent:
| Software | Zranitelnost |
| Fortigate VPN | CVE-2018-13379 |
| Cisco | CVE-2019-1653 |
| Oracle WebLogic Server | CVE-2019-2725 |
| Kibana | CVE-2019-7609 |
| Zimbra | CVE-2019-9670 |
| Exim Simple Mail Transfer Protocol | CVE-2019-10149 |
| Pulse Secure | CVE-2019-11510 |
| Citrix | CVE-2019-19781 |
| Microsoft Exchange | CVE-2020-0688 |
| VMware One Access a Identity Manager | CVE-2020-4006 |
| F5 Big-IP | CVE-2020-5902 |
| Oracle WebLogic | CVE-2020-14882 |
| Microsoft Exchange | CVE-2021-26855 |
| Apache Log4j | CVE-2021-44228 |
Zákazníky, kteří používají Sophos Firewall (který využívá součást Exim SMTP) informujeme, že zranitelnost „CVE-2019-10149“ byla již aplikována ve verzi 17.5 (v době objevení chyby) a všechny novější verze tedy nejsou chybou postiženy.
V případě zranitelností v Microsoft Exchange doporučujeme postupovat dle rad, které jsme doporučovali v dřívějším článku.
2) Zvažte blokování komunikace z Ruské federace
Tento návod Vám umožní kompletní zahození příchozí komunikace z Ruské federace.
a) Zablokování komunikace pomocí pravidla firewall (Rules and policies -> Firewall Rules -> Add firewall rule -> New firewall rule).
b) Pravidlo firewall samo o sobě nestačí. Dále je třeba zablokovat komunikaci na aplikační služby firewallu (VPN, Uživatelský Portál, SMTP proxy atd.).
To vytvoříte kombinací zmíněného pravidla firewall (které blokuje i tuto komunikaci v případě že nastavíte DNAT pravidlo) a překladového pravidla (Rules and policies -> NAT rules -> Add NAT rule -> New NAT rule). Fake-null by měla být adresa brány Vaše poskytovatele připojení k internetu.
c) Blokování odchozí komunikace do Ruské federace
Zatímco se na první pohled nemusí zdát důležité blokovat odchozí komunikaci do Ruské Federace, tak na základě faktu – tedy že většina malware potřebuje komunikovat s útočníkem (tzv. C&C komunikace), může tato komunikace odcházet právě do Ruské Federace, a tudíž může být žádoucí ji blokovat.
Blokaci opět provedeme pomocí pravidla firewall Rules and policies -> Firewall Rules -> Add firewall rule -> New firewall rule:
Country blocking
Zákazníci, u kterých pravidelně provádíme audit, si mohli povšimnout, že jsme tuto část zařádili do doporučení kritických.
Doporučujeme zvážit pro všechny publikované služby do internetu, zda je opravdu chcete poskytovat celému světu.
V případě, že publikujete službu přes DNAT, lze jak v pravidle firewall, tak v překladovém pravidle specifikovat kterým zemím poskytujete přístup na Vaši službu – viz příklad DNAT pravidla.
K překladovému pravidlu pak vytvoříte pravidlo firewall. Povšimněte si, že povolujeme v obou pravidlech nejen komunikaci z internetu, ale také z lokální sítě, což je zpravidla žádoucí. Pokud používáme v interní i veřejné sítě stejné, veřejné DNS záznamy zpravidla se jméno služby bude odkazovat na veřejnou IP adresu i pro lokální síť.
V případě útoků typu DDoS Vám zpravidla nezbyde nic jiného než kontaktovat svého poskytovatele připojení k internetu, případně použít jiné připojení k internetu.
Upozorňujeme, že varování se nevztahují pouze na útoky probíhají z Ruské federace a ačkoliv vnímáme probíhající vojenský konflikt jako eskalační faktor kyberútoků, jedná se o globální upozornění a doporučení.
Na Sophos firewallu doporučujeme využívat verzi 18.5 MR-2, pakliže ještě využíváte starší verzi doporučujeme okamžitou aktualizaci.
