部分攻擊得以成功，未授權(quán)入侵者獲得“對(duì)選舉支持系統(tǒng)的訪問(wèn)權(quán)”。

　　美國(guó)聯(lián)邦調(diào)查局（FBI）和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）在上周五發(fā)表聯(lián)合安全警報(bào)，表示黑客正在利用VPN與Windows漏洞入侵政府網(wǎng)絡(luò)。

　　攻擊活動(dòng)主要針對(duì)各聯(lián)邦、州、地方、郡縣以及地區(qū)（SLTT）一級(jí)政府網(wǎng)絡(luò)發(fā)動(dòng)，部分非政府網(wǎng)絡(luò)也同期受到波及。

　　安全警報(bào)指出，“根據(jù)CISA掌握的情報(bào)，此輪攻擊致使攻擊者以未授權(quán)方式訪問(wèn)到部分選舉支持系統(tǒng)；但迄今為止，尚無(wú)證據(jù)表明選舉數(shù)據(jù)的完整性受到了損害。”

　　官員們同時(shí)補(bǔ)充稱，“由于距離大選仍有一段時(shí)日，攻擊者似乎并沒(méi)有做出特別明確的目標(biāo)選擇，但此次事件仍彰顯了存儲(chǔ)在政府網(wǎng)絡(luò)內(nèi)的選舉信息所面臨的安全風(fēng)險(xiǎn)?！?/p>

　　本輪攻擊將FORTINET VPN與WINDOWS ZEROLOGON漏洞加以結(jié)合

　　根據(jù)聯(lián)合警報(bào)，此輪攻擊將CVE-2018-13379 與CVE-2020-1472兩個(gè)安全漏洞相結(jié)合并加以利用。

　　CVE-2018-13379是Fortinet FortiOS SSL VPN（一種本地VPN服務(wù)器，用于從遠(yuǎn)程位置訪問(wèn)企業(yè)網(wǎng)絡(luò)的安全網(wǎng)關(guān)）產(chǎn)品的一項(xiàng)漏洞。于去年正式披露的CVE-2018-13379允許攻擊者在未經(jīng)修復(fù)的系統(tǒng)中上傳惡意文件，借此接管Fortinet VPN服務(wù)器。

　　CVE-2020-1472亦被稱為Zerologon，屬于Netlogon中的一項(xiàng)安全漏洞。Netlogon是Windows工作站作為域控制器對(duì)Windows Server進(jìn)行身份驗(yàn)證的重要協(xié)議。該安全漏洞使攻擊者得以接管域控制器及服務(wù)器用戶，管理整個(gè)內(nèi)部/企業(yè)網(wǎng)絡(luò)，特別是其中所包含的全部接入工作站密碼。

　　CISA與FBI解釋稱，攻擊者將這兩個(gè)漏洞結(jié)合起來(lái)劫持Fortinet服務(wù)器，并使用Zerologon操縱并接管內(nèi)部網(wǎng)絡(luò)。

　　雙方補(bǔ)充稱，“攻擊者隨后會(huì)使用合法的遠(yuǎn)程訪問(wèn)工具（例如VPN、RDP）配合竊取到的憑證訪問(wèn)內(nèi)部環(huán)境。”

　　聯(lián)合警報(bào)并沒(méi)有透露關(guān)于攻擊者的詳細(xì)信息，只是將其描述為“高級(jí)持續(xù)威脅（APT）行為者?！?/strong>

　　網(wǎng)絡(luò)安全專家一般使用APT行為者來(lái)描述由國(guó)家資助的黑客組織。微軟公司上周也表示，其觀察到來(lái)自伊朗的APT Mercury（MuddyWatter）曾在最近的攻擊中利用Zerologon bug。值得注意的是，該威脅組織曾對(duì)美國(guó)政府機(jī)構(gòu)開(kāi)展過(guò)多起廣受關(guān)注的攻擊。

　　多VPN漏洞聯(lián)動(dòng)已經(jīng)成為新的攻擊趨勢(shì)與重大威脅因素

　　CISA與FBI方面建議美國(guó)各私營(yíng)及公共部門實(shí)體及時(shí)更新系統(tǒng)以修復(fù)這兩個(gè)漏洞，相關(guān)補(bǔ)丁已經(jīng)于幾個(gè)月前正式發(fā)布。

　　此外，CISA與FBI還警告稱，黑客完全可以將此次攻擊中的Fortinet漏洞替換為VPN及網(wǎng)關(guān)產(chǎn)品中的其他類似漏洞（相應(yīng)修復(fù)補(bǔ)丁同樣已經(jīng)發(fā)布），從而達(dá)成相同的未授權(quán)訪問(wèn)效果。

　　相關(guān)漏洞包括：

　　Pulse Secure “Connect” 企業(yè)VPN （CVE-2019-11510）

　　Palo Alto Networks “Global Protect” VPN服務(wù)器 （CVE-2019-1579）

　　思杰“ADC”服務(wù)器與思杰網(wǎng)絡(luò)網(wǎng)關(guān) （CVE-2019-19781）

　　MobileIron移動(dòng)設(shè)備管理服務(wù)器 （CVE-2020-15505）

　　F5 BIG-IP 網(wǎng)絡(luò)均衡器 （CVE-2020-5902）

　　以上列出的所有漏洞，皆用于對(duì)企業(yè)及政府網(wǎng)絡(luò)邊緣部署的服務(wù)器進(jìn)行“初始訪問(wèn)”。這些漏洞也都可以輕松與Zerologon Windows漏洞相結(jié)合，借此實(shí)施與此次Fortinet VPN + Zerologon類似的入侵攻擊。