+- Bezbedan Balkan (https://bezbedanbalkan.net)
+-- Forum: Bezbednost državnih resursa (https://bezbedanbalkan.net/forum-5.html)
+--- Forum: Kompromitovani resursi (https://bezbedanbalkan.net/forum-6.html)
+--- Thread: Kompromitovan mojdoktor.gov.rs (/thread-402.html)
RE: Kompromitovan [email protected] - 1van - 02-05-2023
Hm, zašto onda piše (ima header) "X-Mailer: Zimbra Web Client" ako je relay?
Btw, MxToolBox kaže da (sada) nije relay i pojavila se IP na Bleklistama (TRUNCATE i SORBS SPAM).
RE: Kompromitovan [email protected] - 1van - 02-05-2023
Da dodamo i da Shodan potvrđuje da je Zimbra na ovoj IP: https://www.shodan.io/host/212.200.253.238, arhivirano: https://archive.ph/NKvZH.
RE: Kompromitovan [email protected] - 1van - 02-05-2023
Poznata istorija zloupotrebe e-mail servera (212.200.253.238) i domena mojdoktor.gov.rs, pregled:
RE: Kompromitovan mojdoktor.gov.rs - iznogud - 02-14-2023
nekako mi ova tema mira ne da...
verovatno je u pitanju onda neka RCE s ozbirom da je verzija zimbre starija ZmSettings.js [8.8.15_GA_3829]
sto nas mozda dovodi do
https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories
RE: Kompromitovan mojdoktor.gov.rs - 1van - 02-14-2023
Ne znam šta je gore, da neko direktno eksploatiše server godinama (ovo što si naveo) i da nemaju nikakav monitoring, ili da neko godinama zloupotrebljava terminale i da niko ništa nije uradio po tom pitanju.
Obavestio sam sve moguće nadležne i nenadležne institucije, i niko ne odgovara. Čak ni CERT-ovi.
RE: Kompromitovan mojdoktor.gov.rs - y0d4 - 02-14-2023
mozda je neka veca igra ...
RE: Kompromitovan mojdoktor.gov.rs - 1van - 02-21-2023
Poslao sam detalje ove kampanje na gomile adresa, između ostalog i na: [email protected], [email protected], [email protected], [email protected], [email protected], [email protected].
Za sada je jedino odgovorio Zaštitnik građana.
RE: Kompromitovan mojdoktor.gov.rs - 1van - 02-22-2023
Dodaću link i na ovu temu gde se vide i drugi potencijalno kompromitovani zdravstveni sistemi: https://bezbedanbalkan.net/thread-470-post-1426.html#pid1426.
Quote:- gakfront.org (Ginekološko-akušerska klinika)
- kcnis.rs (Univerzitetski Klinički centar Niš)
- dzki.rs (Dom zdravlja Kikinda)
- vannacare.rs (Poliklinika)
- dzrakovica.rs (Dom zdravlja Rakovica)
A i ovu vest: https://heliant.rs/2023/02/21/radulovic-gost-emisije-naucni-portal-na-rts-u/, arhivirano: https://archive.ph/6cgpV.
Quote:Predstavnik kompanije „Heliant“ i predsednik Saveza za zdravstvo NALED-a, Vukašin Radulović, će 7. marta gostovati u emisiji Radio-televizije Srbije, „Naučni portal“, u kojoj će govoriti o tome zašto je digitalizacija važna za zdravstveni sistem u Srbiji, kao i najnovijim trendovima na tom polju.
Novinarka Dragana Daničić je sa predstavnikom kompanije „Heliant“ koja razvija, implementira i održava softver koji više od 250 zdravstvenih ustanova u Srbiji koristi u svom svakodnevnom radu, razgovarala o primeni modernih tehnologija u zdravstvu, o „medicini podataka u realnom vremenu“, kao i o bezbednosti tih podataka koji se čuvaju u informacionim sistemima koji se koriste u zdravstvu.
RE: Kompromitovan mojdoktor.gov.rs - facyber_ - 03-22-2023
Pozdrav svima,
ubacio bih se sa komentarom da nisam iznenađen što niko ne odgovara i da je veoma sramotno.
Pokušao sam da ispratim celu priču od početka, tj. prešao sam sve linkove i komentare u ovoj temi, pa bih dodao još par linkova za koje verujem da ste možda već videli ali eto neka bude u bazi.
1. Komentar na VirusTotal stranici za ovu IP adresu navodi moguć Zimbra exploit još pre 7 meseci.
2. OTX Pulse za IP adresu 212.200.253.238 spominje širenje malicioznog fajla još pre 2 godine što se poklapa sa tvojom analizom početka.
3. OTX detalji IP adrese pokazuju dodatne subdomene među kojima je i mail.mojdoktor.gov.rs koji otvara Zimbra login stranicu.
4. Izvorni kod mail login stranice ne znam da li je podrazumevani, ali mi se ne sviđa što sadrži klasičan JavaScript u samom html fajlu, gde se vidi princip rada menjanja lozinke. Nisam programer pa ne mogu tvrditi da je ovaj kod zaista ranjiv ovakav kakav je, ali šta ja znam, meni ne deluje okej.
RE: Kompromitovan mojdoktor.gov.rs - 1van - 05-12-2023
Hval na detaljima, dodaću samo još sliku: