警报!APT组织利用VPN和Windows漏洞黑进美国政府网络
2020-10-13
来源: 互联网安全内参
部分攻击得以成功,未授权入侵者获得“对选举支持系统的访问权”。
美国联邦调查局(FBI)和网络安全与基础设施安全局(CISA)在上周五发表联合安全警报,表示黑客正在利用VPN与Windows漏洞入侵政府网络。
攻击活动主要针对各联邦、州、地方、郡县以及地区(SLTT)一级政府网络发动,部分非政府网络也同期受到波及。
安全警报指出,“根据CISA掌握的情报,此轮攻击致使攻击者以未授权方式访问到部分选举支持系统;但迄今为止,尚无证据表明选举数据的完整性受到了损害。”
官员们同时补充称,“由于距离大选仍有一段时日,攻击者似乎并没有做出特别明确的目标选择,但此次事件仍彰显了存储在政府网络内的选举信息所面临的安全风险。”
本轮攻击将FORTINET VPN与WINDOWS ZEROLOGON漏洞加以结合
根据联合警报,此轮攻击将CVE-2018-13379 与CVE-2020-1472两个安全漏洞相结合并加以利用。
CVE-2018-13379是Fortinet FortiOS SSL VPN(一种本地VPN服务器,用于从远程位置访问企业网络的安全网关)产品的一项漏洞。于去年正式披露的CVE-2018-13379允许攻击者在未经修复的系统中上传恶意文件,借此接管Fortinet VPN服务器。
CVE-2020-1472亦被称为Zerologon,属于Netlogon中的一项安全漏洞。Netlogon是Windows工作站作为域控制器对Windows Server进行身份验证的重要协议。该安全漏洞使攻击者得以接管域控制器及服务器用户,管理整个内部/企业网络,特别是其中所包含的全部接入工作站密码。
CISA与FBI解释称,攻击者将这两个漏洞结合起来劫持Fortinet服务器,并使用Zerologon操纵并接管内部网络。
双方补充称,“攻击者随后会使用合法的远程访问工具(例如VPN、RDP)配合窃取到的凭证访问内部环境。”
联合警报并没有透露关于攻击者的详细信息,只是将其描述为“高级持续威胁(APT)行为者。”
网络安全专家一般使用APT行为者来描述由国家资助的黑客组织。微软公司上周也表示,其观察到来自伊朗的APT Mercury(MuddyWatter)曾在最近的攻击中利用Zerologon bug。值得注意的是,该威胁组织曾对美国政府机构开展过多起广受关注的攻击。
多VPN漏洞联动已经成为新的攻击趋势与重大威胁因素
CISA与FBI方面建议美国各私营及公共部门实体及时更新系统以修复这两个漏洞,相关补丁已经于几个月前正式发布。
此外,CISA与FBI还警告称,黑客完全可以将此次攻击中的Fortinet漏洞替换为VPN及网关产品中的其他类似漏洞(相应修复补丁同样已经发布),从而达成相同的未授权访问效果。
相关漏洞包括:
Pulse Secure “Connect” 企业VPN (CVE-2019-11510)
Palo Alto Networks “Global Protect” VPN服务器 (CVE-2019-1579)
思杰“ADC”服务器与思杰网络网关 (CVE-2019-19781)
MobileIron移动设备管理服务器 (CVE-2020-15505)
F5 BIG-IP 网络均衡器 (CVE-2020-5902)
以上列出的所有漏洞,皆用于对企业及政府网络边缘部署的服务器进行“初始访问”。这些漏洞也都可以轻松与Zerologon Windows漏洞相结合,借此实施与此次Fortinet VPN + Zerologon类似的入侵攻击。