《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > APT組織利用FatPipe VPN中的0 Day漏洞長(zhǎng)達(dá)六個(gè)月

APT組織利用FatPipe VPN中的0 Day漏洞長(zhǎng)達(dá)六個(gè)月

2021-11-26
來(lái)源:嘶吼專(zhuān)業(yè)版
關(guān)鍵詞: 0day漏洞

  FBI警告稱,至少?gòu)?月開(kāi)始,威脅行為者就一直在利用FatPipe虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)設(shè)備中的0day漏洞來(lái)破壞公司并訪問(wèn)其內(nèi)部網(wǎng)絡(luò)。

  “截至2021年11月,F(xiàn)BI取證分析表明,F(xiàn)atPipe MPVPN設(shè)備軟件中的0day漏洞至少可以追溯到2021年5月,”該局在周二的警報(bào)(PDF)中表示。

  本周修補(bǔ)的漏洞是在FatPipe的設(shè)備軟件中發(fā)現(xiàn)的。

  根據(jù)警報(bào),該漏洞允許高級(jí)持續(xù)威脅(APT)攻擊者利用設(shè)備固件中的文件上傳功能安裝具有root訪問(wèn)權(quán)限的webshell,從而導(dǎo)致權(quán)限提升。

  利用尚無(wú)CVE跟蹤號(hào)的漏洞,APT參與者能夠橫向傳播到受害者網(wǎng)絡(luò)中。FatPipe正在使用自己的標(biāo)簽FPSA006跟蹤漏洞,該標(biāo)簽包含補(bǔ)丁和周二發(fā)布的安全公告。

  該漏洞影響最新版本10.1.2r60p93 和 10.2.2r44p1發(fā)布之前的所有FatPipe WARP、MPVPN和IPVPN設(shè)備軟件。

  利用漏洞授予遠(yuǎn)程攻擊者管理員權(quán)限

  FatPipe解釋說(shuō),在受影響固件的Web管理界面中發(fā)現(xiàn)的前0day漏洞可能允許具有只讀權(quán)限的經(jīng)過(guò)身份驗(yàn)證的遠(yuǎn)程攻擊者將其權(quán)限提升到受影響設(shè)備上的管理員級(jí)別。

  FatPipe表示,該漏洞是由于對(duì)受影響設(shè)備上的某些HTTP請(qǐng)求缺乏輸入和驗(yàn)證檢查機(jī)制造成的。

  根據(jù)該公司的公告,“攻擊者可以通過(guò)向受影響的設(shè)備發(fā)送修改后的HTTP請(qǐng)求來(lái)利用此漏洞”?!奥┒纯赡茉试S攻擊者作為只讀用戶執(zhí)行功能,就像他們是管理用戶一樣?!?/p>

  FBI的警報(bào)包括一份入侵指標(biāo)(IOC)和YARA惡意軟件簽名列表,并要求組織在發(fā)現(xiàn)任何相關(guān)網(wǎng)絡(luò)活動(dòng)時(shí)“立即采取行動(dòng)”。

  FBI敦促系統(tǒng)管理員立即升級(jí)他們的設(shè)備并遵循其他FatPipe安全建議,包括在不積極使用WAN接口(面向外部)時(shí)禁用UI和SSH訪問(wèn)。

  加入VPN和網(wǎng)絡(luò)設(shè)備制造商聯(lián)盟

  這個(gè)消息意味著FatPipe加入了一個(gè)沒(méi)人愿意加入的俱樂(lè)部:VPN和網(wǎng)絡(luò)設(shè)備制造商聯(lián)盟,其系統(tǒng)已被網(wǎng)絡(luò)攻擊者利用。

  現(xiàn)在已經(jīng)到了政府覺(jué)得有必要介入的地步。9月,美國(guó)國(guó)家安全局(NSA)和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了VPN選擇和加固指南,對(duì)如何選擇和加固VPN作出建議,以防止民族國(guó)家APT將漏洞武器化,并防止CVE入侵受保護(hù)的網(wǎng)絡(luò)。

  畢竟,不安全的VPN可能會(huì)帶來(lái)一團(tuán)糟:只要問(wèn)Colonial Pipeline(被REvil勒索軟件騙子用一個(gè)舊的VPN密碼破解了)或87,000(至少)的Fortinet客戶,他們的未修補(bǔ)SSL VPN憑據(jù)在9月份發(fā)布到了網(wǎng)上。

  正如政府公告所解釋的那樣,利用與VPN相關(guān)的CVE可以使惡意行為者“竊取憑據(jù)、遠(yuǎn)程執(zhí)行代碼、削弱加密流量的密碼學(xué)、劫持加密流量會(huì)話并從設(shè)備讀取敏感數(shù)據(jù)?!?/p>

  如果成功,威脅行為者可以獲得進(jìn)一步的惡意訪問(wèn),從而導(dǎo)致公司網(wǎng)絡(luò)大規(guī)模入侵。

  最近的一個(gè)民族國(guó)家行為者攻擊易受攻擊VPN的例子出現(xiàn)在5月,當(dāng)時(shí)Pulse Secure急于修復(fù)其Connect Secure VPN設(shè)備中的一個(gè)關(guān)鍵0day安全漏洞。該0day被一些APT團(tuán)體所利用,他們利用它對(duì)美國(guó)國(guó)防、金融和政府目標(biāo)以及歐洲的受害者發(fā)起網(wǎng)絡(luò)攻擊。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。