De Amerikaanse overheid heeft vorig jaar bij een niet nader genoemde overheidsinstantie een red team-oefening uitgevoerd, waarbij werd ontdekt dat de instantie een kritieke Oracle-kwetsbaarheid al drie maanden niet had gepatcht. Ook na te zijn gewaarschuwd duurde het meer dan twee weken voordat er een update werd uitgerold. In de tussentijd was exploitcode voor de kwetsbaarheid op internet verschenen en werd er misbruik van het beveiligingslek gemaakt, zo meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security.

Het CISA deed de red team-oefening om te zien hoe de cybersecurity bij overheidsinstanties is geregeld, om vervolgens geleerde lessen te delen. De oefening begon in januari 2023, waarbij het CISA op 25 januari via een kritieke kwetsbaarheid in Oracle Web Applications Desktop Integrator toegang tot een webserver kreeg. Oracle had op 18 oktober 2022 beveiligingsupdates voor de kwetsbaarheid (CVE-2022-21587) uitgebracht.

Hoewel een update al meer dan drie maanden beschikbaar was, had de overheidsinstantie die niet geïnstalleerd. Nadat het CISA toegang tot de webserver had gekregen werden bepaalde personen binnen de organisatie op 26 januari over de aanwezigheid van het lek ingelicht. Het duurde meer dan twee weken voordat de overheidsinstantie de update uiteindelijk uitrolde. In de tussentijd werd er misbruik van het beveiligingslek gemaakt en verscheen er exploitcode online. Op 2 februari meldde het CISA dat het misbruik van de kwetsbaarheid had waargenomen. Uit de beschrijving van het CISA wordt niet volledig duidelijk waar het misbruik plaatsvond.

Daarnaast bleek dat de overheidsinstantie na te zijn ingelicht geen volledig onderzoek naar de betreffende servers uitvoerde. "Dat had Indicators of Compromise opgeleverd en zou tot een volledig incident response hebben moeten leiden", aldus het CISA. Dat weet de Solaris-enclave van de overheidsinstantie eind februari volledig te compromitteren. Het lukt daarvan niet de Windowsomgeving succesvol aan te vallen. Hiervoor wordt gebruikgemaakt van een phishingaanval.

Volgens het CISA zijn er verschillende lessen geleerd. Zo had de onderzochte overheidsinstantie onvoldoende controls om malafide activiteiten te voorkomen en detecteren, was de logging inadequaat, hinderden bureaucratische processen en gedecentraliseerde teams de netwerkverdedigers en stond het gebruik van een "known-bad" detectie aanpak de detectie van andere dreigingen in de weg. Naar aanleiding van de red team-oefening heeft de overheidsinstantie verschillende aanpassingen doorgevoerd.