警報(bào)!APT組織利用VPN和Windows漏洞黑進(jìn)美國(guó)政府網(wǎng)絡(luò)
2020-10-13
來(lái)源: 互聯(lián)網(wǎng)安全內(nèi)參
部分攻擊得以成功,未授權(quán)入侵者獲得“對(duì)選舉支持系統(tǒng)的訪問(wèn)權(quán)”。
美國(guó)聯(lián)邦調(diào)查局(FBI)和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)在上周五發(fā)表聯(lián)合安全警報(bào),表示黑客正在利用VPN與Windows漏洞入侵政府網(wǎng)絡(luò)。
攻擊活動(dòng)主要針對(duì)各聯(lián)邦、州、地方、郡縣以及地區(qū)(SLTT)一級(jí)政府網(wǎng)絡(luò)發(fā)動(dòng),部分非政府網(wǎng)絡(luò)也同期受到波及。
安全警報(bào)指出,“根據(jù)CISA掌握的情報(bào),此輪攻擊致使攻擊者以未授權(quán)方式訪問(wèn)到部分選舉支持系統(tǒng);但迄今為止,尚無(wú)證據(jù)表明選舉數(shù)據(jù)的完整性受到了損害。”
官員們同時(shí)補(bǔ)充稱,“由于距離大選仍有一段時(shí)日,攻擊者似乎并沒有做出特別明確的目標(biāo)選擇,但此次事件仍彰顯了存儲(chǔ)在政府網(wǎng)絡(luò)內(nèi)的選舉信息所面臨的安全風(fēng)險(xiǎn)。”
本輪攻擊將FORTINET VPN與WINDOWS ZEROLOGON漏洞加以結(jié)合
根據(jù)聯(lián)合警報(bào),此輪攻擊將CVE-2018-13379 與CVE-2020-1472兩個(gè)安全漏洞相結(jié)合并加以利用。
CVE-2018-13379是Fortinet FortiOS SSL VPN(一種本地VPN服務(wù)器,用于從遠(yuǎn)程位置訪問(wèn)企業(yè)網(wǎng)絡(luò)的安全網(wǎng)關(guān))產(chǎn)品的一項(xiàng)漏洞。于去年正式披露的CVE-2018-13379允許攻擊者在未經(jīng)修復(fù)的系統(tǒng)中上傳惡意文件,借此接管Fortinet VPN服務(wù)器。
CVE-2020-1472亦被稱為Zerologon,屬于Netlogon中的一項(xiàng)安全漏洞。Netlogon是Windows工作站作為域控制器對(duì)Windows Server進(jìn)行身份驗(yàn)證的重要協(xié)議。該安全漏洞使攻擊者得以接管域控制器及服務(wù)器用戶,管理整個(gè)內(nèi)部/企業(yè)網(wǎng)絡(luò),特別是其中所包含的全部接入工作站密碼。
CISA與FBI解釋稱,攻擊者將這兩個(gè)漏洞結(jié)合起來(lái)劫持Fortinet服務(wù)器,并使用Zerologon操縱并接管內(nèi)部網(wǎng)絡(luò)。
雙方補(bǔ)充稱,“攻擊者隨后會(huì)使用合法的遠(yuǎn)程訪問(wèn)工具(例如VPN、RDP)配合竊取到的憑證訪問(wèn)內(nèi)部環(huán)境。”
聯(lián)合警報(bào)并沒有透露關(guān)于攻擊者的詳細(xì)信息,只是將其描述為“高級(jí)持續(xù)威脅(APT)行為者。”
網(wǎng)絡(luò)安全專家一般使用APT行為者來(lái)描述由國(guó)家資助的黑客組織。微軟公司上周也表示,其觀察到來(lái)自伊朗的APT Mercury(MuddyWatter)曾在最近的攻擊中利用Zerologon bug。值得注意的是,該威脅組織曾對(duì)美國(guó)政府機(jī)構(gòu)開展過(guò)多起廣受關(guān)注的攻擊。
多VPN漏洞聯(lián)動(dòng)已經(jīng)成為新的攻擊趨勢(shì)與重大威脅因素
CISA與FBI方面建議美國(guó)各私營(yíng)及公共部門實(shí)體及時(shí)更新系統(tǒng)以修復(fù)這兩個(gè)漏洞,相關(guān)補(bǔ)丁已經(jīng)于幾個(gè)月前正式發(fā)布。
此外,CISA與FBI還警告稱,黑客完全可以將此次攻擊中的Fortinet漏洞替換為VPN及網(wǎng)關(guān)產(chǎn)品中的其他類似漏洞(相應(yīng)修復(fù)補(bǔ)丁同樣已經(jīng)發(fā)布),從而達(dá)成相同的未授權(quán)訪問(wèn)效果。
相關(guān)漏洞包括:
Pulse Secure “Connect” 企業(yè)VPN (CVE-2019-11510)
Palo Alto Networks “Global Protect” VPN服務(wù)器 (CVE-2019-1579)
思杰“ADC”服務(wù)器與思杰網(wǎng)絡(luò)網(wǎng)關(guān) (CVE-2019-19781)
MobileIron移動(dòng)設(shè)備管理服務(wù)器 (CVE-2020-15505)
F5 BIG-IP 網(wǎng)絡(luò)均衡器 (CVE-2020-5902)
以上列出的所有漏洞,皆用于對(duì)企業(yè)及政府網(wǎng)絡(luò)邊緣部署的服務(wù)器進(jìn)行“初始訪問(wèn)”。這些漏洞也都可以輕松與Zerologon Windows漏洞相結(jié)合,借此實(shí)施與此次Fortinet VPN + Zerologon類似的入侵攻擊。