soc security operations center ibm

Hacker descreve ataque à IBM e à Universidade de Stanford

Da Redação
05/07/2022

A CloudSEK informou que sua plataforma de IA para risco digital XVigil localizou um postagem num fórum de crimes cibernéticos de língua inglesa que mencionou a plataforma de automação de código aberto de back-end Jenkins como um dos TTPs (táticas, métodos e procedimentos) usados ​​para invadir a IBM e Universidade de Stanford. A postagem no fórum de cibercriminosos foi vista registrada pela CloudSEK em 7 de maio de 2022 e incluiu uma captura de tela como evidência de acesso ao painel de controle do Jenkins.

Veja isso
Network Secure e IBM se unem para oferta de SOC gerenciado orientado por inteligência
IBM adquire empresa de segurança de endpoint ReaQta

O invasor conseguiu utilizar o painel do Jenkins, que continha hosts e scripts internos, bem como logins e senhas do banco de dados segundo o relatório da CloudSEK. É interessante notar que o mesmo ator de ameaça foi visto anteriormente oferecendo acesso à IBM. O ator também provou uma captura de tela de amostra como prova de seu acesso reivindicado a um painel do Jenkins.

  • O agente da ameaça encontrou um desvio do painel do Jenkins que continha hosts e scripts internos, além de credenciais e logins do banco de dados.
  • O ator usou mecanismos de busca como o Shodan para atingir a porta 9443 do patrimônio público da empresa comprometida.
  • Depois de obter os resultados, o ator usou um script privado para fuzzing para obter instâncias vulneráveis ​​para explorar o desvio de configuração incorreta do rproxy.
  • Em suas postagens subsequentes, o ator também mencionou a seguinte história de exploração sobre o acesso à Universidade de Stanford:
    • O ator utilizou a ferramenta Sudomy para enumerar todos os subdomínios relacionados à Universidade.
    • O ator então usou httpx para fornecer aos domínios um caminho como -path /wp-content/plugins/.
    • Uma exploração de dia zero vulnerável no plug-in acima retorna dados de todos os subdomínios que têm um caminho válido com o dia zero, o que permite que um invasor execute RCE nele.


Compartilhar: