部分攻擊得以成功,未授權(quán)入侵者獲得“對選舉支持系統(tǒng)的訪問權(quán)”。
美國聯(lián)邦調(diào)查局(FBI)和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)在上周五發(fā)表聯(lián)合安全警報,表示黑客正在利用VPN與Windows漏洞入侵政府網(wǎng)絡(luò)。
攻擊活動主要針對各聯(lián)邦、州、地方、郡縣以及地區(qū)(SLTT)一級政府網(wǎng)絡(luò)發(fā)動,部分非政府網(wǎng)絡(luò)也同期受到波及。
安全警報指出,“根據(jù)CISA掌握的情報,此輪攻擊致使攻擊者以未授權(quán)方式訪問到部分選舉支持系統(tǒng);但迄今為止,尚無證據(jù)表明選舉數(shù)據(jù)的完整性受到了損害。”
官員們同時補充稱,“由于距離大選仍有一段時日,攻擊者似乎并沒有做出特別明確的目標選擇,但此次事件仍彰顯了存儲在政府網(wǎng)絡(luò)內(nèi)的選舉信息所面臨的安全風(fēng)險。”
本輪攻擊將FORTINET VPN與WINDOWS ZEROLOGON漏洞加以結(jié)合
根據(jù)聯(lián)合警報,此輪攻擊將CVE-2018-13379 與CVE-2020-1472兩個安全漏洞相結(jié)合并加以利用。
CVE-2018-13379是Fortinet FortiOS SSL VPN(一種本地VPN服務(wù)器,用于從遠程位置訪問企業(yè)網(wǎng)絡(luò)的安全網(wǎng)關(guān))產(chǎn)品的一項漏洞。于去年正式披露的CVE-2018-13379允許攻擊者在未經(jīng)修復(fù)的系統(tǒng)中上傳惡意文件,借此接管Fortinet VPN服務(wù)器。
CVE-2020-1472亦被稱為Zerologon,屬于Netlogon中的一項安全漏洞。Netlogon是Windows工作站作為域控制器對Windows Server進行身份驗證的重要協(xié)議。該安全漏洞使攻擊者得以接管域控制器及服務(wù)器用戶,管理整個內(nèi)部/企業(yè)網(wǎng)絡(luò),特別是其中所包含的全部接入工作站密碼。
CISA與FBI解釋稱,攻擊者將這兩個漏洞結(jié)合起來劫持Fortinet服務(wù)器,并使用Zerologon操縱并接管內(nèi)部網(wǎng)絡(luò)。
雙方補充稱,“攻擊者隨后會使用合法的遠程訪問工具(例如VPN、RDP)配合竊取到的憑證訪問內(nèi)部環(huán)境。”
聯(lián)合警報并沒有透露關(guān)于攻擊者的詳細信息,只是將其描述為“高級持續(xù)威脅(APT)行為者。”
網(wǎng)絡(luò)安全專家一般使用APT行為者來描述由國家資助的黑客組織。微軟公司上周也表示,其觀察到來自伊朗的APT Mercury(MuddyWatter)曾在最近的攻擊中利用Zerologon bug。值得注意的是,該威脅組織曾對美國政府機構(gòu)開展過多起廣受關(guān)注的攻擊。
多VPN漏洞聯(lián)動已經(jīng)成為新的攻擊趨勢與重大威脅因素
CISA與FBI方面建議美國各私營及公共部門實體及時更新系統(tǒng)以修復(fù)這兩個漏洞,相關(guān)補丁已經(jīng)于幾個月前正式發(fā)布。
此外,CISA與FBI還警告稱,黑客完全可以將此次攻擊中的Fortinet漏洞替換為VPN及網(wǎng)關(guān)產(chǎn)品中的其他類似漏洞(相應(yīng)修復(fù)補丁同樣已經(jīng)發(fā)布),從而達成相同的未授權(quán)訪問效果。
相關(guān)漏洞包括:
Pulse Secure “Connect” 企業(yè)VPN (CVE-2019-11510)
Palo Alto Networks “Global Protect” VPN服務(wù)器 (CVE-2019-1579)
思杰“ADC”服務(wù)器與思杰網(wǎng)絡(luò)網(wǎng)關(guān) (CVE-2019-19781)
MobileIron移動設(shè)備管理服務(wù)器 (CVE-2020-15505)
F5 BIG-IP 網(wǎng)絡(luò)均衡器 (CVE-2020-5902)
以上列出的所有漏洞,皆用于對企業(yè)及政府網(wǎng)絡(luò)邊緣部署的服務(wù)器進行“初始訪問”。這些漏洞也都可以輕松與Zerologon Windows漏洞相結(jié)合,借此實施與此次Fortinet VPN + Zerologon類似的入侵攻擊。