“Повна безвідповідальність”: експерти назвали вразливість, через яку хакери зламали урядові сайти України

ІЛЮСТРАТИВНЕ ФОТО

Мінімальні заходи із кібербезпеки могли би запобігти масштабному зламу українських урядових сайтів, який трапився 14 січня.

Як передає “Новинарня“, про це в фейсбуці заявив експерт з кібербезпеки Андрій Баранович та озвучив причини атаки на вебресурси держорганів.

Він прокоментував твіт американської журналістки-розслідувачки Кім Зеттер, яка з посиланнями на власні джерела написала, що “всі ці 15 сайтів в Україні використовували OctoberCMS”.https://platform.twitter.com/embed/Tweet.html?dnt=false&embedId=twitter-widget-0&features=eyJ0ZndfZXhwZXJpbWVudHNfY29va2llX2V4cGlyYXRpb24iOnsiYnVja2V0IjoxMjA5NjAwLCJ2ZXJzaW9uIjpudWxsfSwidGZ3X2hvcml6b25fdHdlZXRfZW1iZWRfOTU1NSI6eyJidWNrZXQiOiJodGUiLCJ2ZXJzaW9uIjpudWxsfSwidGZ3X3NwYWNlX2NhcmQiOnsiYnVja2V0Ijoib2ZmIiwidmVyc2lvbiI6bnVsbH19&frame=false&hideCard=false&hideThread=false&id=1481890639029551106&lang=uk&origin=https%3A%2F%2Fnovynarnia.com%2F2022%2F01%2F14%2Fczilkovyta-bezvidpovidalnist-eksperty-nazvaly-vrazlyvist-cherez-yaku-hakery-zlamaly-uryadovi-sajty-ukrayiny%2F&sessionId=2ce657f479e6d2df2865ad05b8d9eab4fb940df6&theme=light&widgetsVersion=86e9194f%3A1641882287124&width=550px

Ще в травні 2021 року в програмному забезпеченні OctoberCMS (система управління вмістом сайту з відкритим вихідним кодом, – “Н”) було знайдено вразливість.

“За останні сім місяців жодне міністерство, жодне відомство не оновило це програмне забезпечення”, – наголосив експерт у коментарі виданню “Фокус”.

“При цьому, наскільки я зрозумів з опису вразливості CVE-2021-32648, якби софт був налаштований правильно, то цього злому не сталося би”, – додав він.

Баранович наголосив, що є дві причини, чому дефейс держсайтів став можливим.

Перша – застаріла версія OctoberCMS. Друга – неправильне/некоректне налаштування OctoberCMS.

Саме цими “дірками” і скористалися хакери.

“Я думаю, що оновлення просто не було кому завантажити – усім було все одно. Найімовірніше, відомства один раз заплатили якійсь компанії за встановлення та налаштування софту, і на цьому все закінчилося. Це цілковита безвідповідальність. Досить найняти адміністратора-фрілансера, який би стежив за такими речами”, – додав Баранович.

Нагадаємо,  14 січня сайти Кабінету Міністрів, Міністерства закордонних справ і низки інших державних органів України, портал держпослуг “Дія” зазнали масштабної хакерської атаки.
На сторінці МЗС зловмисники розмістили повідомлення українською, російською і польською мовами. У ньому були погрози українцям та згадки про історію, зокрема про ОУН-УПА.

У відомствах, що зазнали атаки, закликали громадян користуватися іншими вебресурсами, зокрема офіційними сторінками міністерств у соцмережах.

і

ютос