《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 警報(bào)!APT組織利用VPN和Windows漏洞黑進(jìn)美國政府網(wǎng)絡(luò)

警報(bào)!APT組織利用VPN和Windows漏洞黑進(jìn)美國政府網(wǎng)絡(luò)

2020-10-13
來源: 互聯(lián)網(wǎng)安全內(nèi)參

  部分攻擊得以成功,未授權(quán)入侵者獲得“對(duì)選舉支持系統(tǒng)的訪問權(quán)”。

微信圖片_20201013130811.jpg

  美國聯(lián)邦調(diào)查局(FBI)和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)在上周五發(fā)表聯(lián)合安全警報(bào),表示黑客正在利用VPNWindows漏洞入侵政府網(wǎng)絡(luò)。

  攻擊活動(dòng)主要針對(duì)各聯(lián)邦、州、地方、郡縣以及地區(qū)(SLTT)一級(jí)政府網(wǎng)絡(luò)發(fā)動(dòng),部分非政府網(wǎng)絡(luò)也同期受到波及。

  安全警報(bào)指出,“根據(jù)CISA掌握的情報(bào),此輪攻擊致使攻擊者以未授權(quán)方式訪問到部分選舉支持系統(tǒng);但迄今為止,尚無證據(jù)表明選舉數(shù)據(jù)的完整性受到了損害?!?/strong>

  官員們同時(shí)補(bǔ)充稱,“由于距離大選仍有一段時(shí)日,攻擊者似乎并沒有做出特別明確的目標(biāo)選擇,但此次事件仍彰顯了存儲(chǔ)在政府網(wǎng)絡(luò)內(nèi)的選舉信息所面臨的安全風(fēng)險(xiǎn)?!?/p>

  本輪攻擊將FORTINET VPN與WINDOWS ZEROLOGON漏洞加以結(jié)合

  根據(jù)聯(lián)合警報(bào),此輪攻擊將CVE-2018-13379 與CVE-2020-1472兩個(gè)安全漏洞相結(jié)合并加以利用。

  CVE-2018-13379是Fortinet FortiOS SSL VPN(一種本地VPN服務(wù)器,用于從遠(yuǎn)程位置訪問企業(yè)網(wǎng)絡(luò)的安全網(wǎng)關(guān))產(chǎn)品的一項(xiàng)漏洞。于去年正式披露的CVE-2018-13379允許攻擊者在未經(jīng)修復(fù)的系統(tǒng)中上傳惡意文件,借此接管Fortinet VPN服務(wù)器。

  CVE-2020-1472亦被稱為Zerologon,屬于Netlogon中的一項(xiàng)安全漏洞。Netlogon是Windows工作站作為域控制器對(duì)Windows Server進(jìn)行身份驗(yàn)證的重要協(xié)議。該安全漏洞使攻擊者得以接管域控制器及服務(wù)器用戶,管理整個(gè)內(nèi)部/企業(yè)網(wǎng)絡(luò),特別是其中所包含的全部接入工作站密碼。

  CISA與FBI解釋稱,攻擊者將這兩個(gè)漏洞結(jié)合起來劫持Fortinet服務(wù)器,并使用Zerologon操縱并接管內(nèi)部網(wǎng)絡(luò)。

  雙方補(bǔ)充稱,“攻擊者隨后會(huì)使用合法的遠(yuǎn)程訪問工具(例如VPN、RDP)配合竊取到的憑證訪問內(nèi)部環(huán)境?!?/p>

  聯(lián)合警報(bào)并沒有透露關(guān)于攻擊者的詳細(xì)信息,只是將其描述為“高級(jí)持續(xù)威脅(APT)行為者?!?/strong>

  網(wǎng)絡(luò)安全專家一般使用APT行為者來描述由國家資助的黑客組織。微軟公司上周也表示,其觀察到來自伊朗的APT Mercury(MuddyWatter)曾在最近的攻擊中利用Zerologon bug。值得注意的是,該威脅組織曾對(duì)美國政府機(jī)構(gòu)開展過多起廣受關(guān)注的攻擊。

  多VPN漏洞聯(lián)動(dòng)已經(jīng)成為新的攻擊趨勢(shì)與重大威脅因素

  CISA與FBI方面建議美國各私營及公共部門實(shí)體及時(shí)更新系統(tǒng)以修復(fù)這兩個(gè)漏洞,相關(guān)補(bǔ)丁已經(jīng)于幾個(gè)月前正式發(fā)布。

  此外,CISA與FBI還警告稱,黑客完全可以將此次攻擊中的Fortinet漏洞替換為VPN及網(wǎng)關(guān)產(chǎn)品中的其他類似漏洞(相應(yīng)修復(fù)補(bǔ)丁同樣已經(jīng)發(fā)布),從而達(dá)成相同的未授權(quán)訪問效果。

  相關(guān)漏洞包括:

  Pulse Secure “Connect” 企業(yè)VPN (CVE-2019-11510)

  Palo Alto Networks “Global Protect” VPN服務(wù)器 (CVE-2019-1579)

  思杰“ADC”服務(wù)器與思杰網(wǎng)絡(luò)網(wǎng)關(guān) (CVE-2019-19781)

  MobileIron移動(dòng)設(shè)備管理服務(wù)器 (CVE-2020-15505)

  F5 BIG-IP 網(wǎng)絡(luò)均衡器 (CVE-2020-5902)

  以上列出的所有漏洞,皆用于對(duì)企業(yè)及政府網(wǎng)絡(luò)邊緣部署的服務(wù)器進(jìn)行“初始訪問”。這些漏洞也都可以輕松與Zerologon Windows漏洞相結(jié)合,借此實(shí)施與此次Fortinet VPN + Zerologon類似的入侵攻擊。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。