安全動(dòng)態(tài)

國(guó)家黑客利用VPN服務(wù)器漏洞入侵美國(guó)政府網(wǎng)絡(luò)

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2020-01-20    瀏覽次數(shù):
 

信息來(lái)源:安全牛

近日,F(xiàn)BI 在一次安全警報(bào)中表示,有國(guó)家(伊朗)黑客利用 Pulse Secure VPN 服務(wù)器的嚴(yán)重漏洞,破壞了美國(guó)市政府和美國(guó)金融公司的網(wǎng)絡(luò)。

美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 于 1 月 10 日警告企業(yè),修補(bǔ)其 Pulse Secure VPN 服務(wù)器以防止利用漏洞 CVE-2019-11510 的攻擊。

該漏洞使未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以發(fā)送特制的 URI,以連接到易受攻擊的服務(wù)器并讀取包含用戶憑據(jù)的敏感文件,并在后繼的攻擊階段用于控制組織的系統(tǒng)等。

在未打補(bǔ)丁的系統(tǒng)上,該漏洞允許無(wú)有效用戶名和密碼的人遠(yuǎn)程連接到公司網(wǎng)絡(luò),關(guān)閉多因素身份驗(yàn)證控制,遠(yuǎn)程查看純文本日志(包括 Active Directory 帳戶和緩存的密碼)。

美國(guó)多家機(jī)構(gòu)實(shí)體遭到入侵

FBI 表示,自 2019 年 8 月以來(lái),身份不明的威脅行為者已使用 CVE-2019-11510 安全漏洞 “入侵著名的美國(guó)實(shí)體機(jī)構(gòu)”,包括一家金融機(jī)構(gòu)和一個(gè)市政府網(wǎng)絡(luò)。

在 2019 年 8 月,攻擊者通過(guò)利用未修補(bǔ) CVE-2019-11510 漏洞的服務(wù)器來(lái)訪問(wèn)美國(guó)一家金融機(jī)構(gòu)的研究網(wǎng)絡(luò)。

在同一個(gè)月內(nèi),攻擊者利用相同漏洞的攻擊破壞了美國(guó)市政政府網(wǎng)絡(luò)。

根據(jù) FBI 的報(bào)道,針對(duì)和破壞美國(guó)市政府網(wǎng)絡(luò)的攻擊發(fā)生在 2019 年 8 月中。這次攻擊中,攻擊者能夠枚舉和泄露用戶的帳戶、主機(jī)配置信息和會(huì)話標(biāo)識(shí)符,從而使他們能夠進(jìn)一步訪問(wèn)內(nèi)部網(wǎng)絡(luò)。目前,聯(lián)邦調(diào)查局正在繼續(xù)收集對(duì)該事件的失陷指標(biāo)。

根據(jù)兩次攻擊中使用的戰(zhàn)術(shù),技術(shù)和程序 (TTP) 的復(fù)雜程度,F(xiàn)BI 認(rèn)為,身份不明的國(guó)家黑客參與了這兩次攻擊;但是,尚不清楚是否是孤立事件。

FBI 稱,成功地針對(duì) CVE-2019-11510 漏洞的攻擊案例不僅限于上述兩家機(jī)構(gòu)。尚未正式確認(rèn)的被攻擊機(jī)構(gòu)還包括國(guó)際貨幣兌換平臺(tái) Travelex,該公司在未修補(bǔ)其 Pulse Secure VNP 服務(wù)器后于12月3日遭到 Sodinokibi 勒索軟件的攻擊,攻擊者要求提供 300 萬(wàn)美元的贖金。

Travelex 在 2019 年 9 月就接到了服務(wù)器脆弱性警告,但是直到被勒索軟件也沒(méi)有做出回應(yīng)或者修補(bǔ)漏洞。

PulseSecure 首席市場(chǎng)官 Scott Gordon (CISSP) 告訴媒體,攻擊者正在通過(guò)利用 VPN 接口的交互提示向用戶嘗試分發(fā)和激活勒索軟件,利用 “未打補(bǔ)丁的VPN服務(wù)器傳播惡意軟件 REvil (Sodinokibi)。”

可能是伊朗黑客

盡管 FBI 并未將這些攻擊直接與伊朗支持的黑客聯(lián)系起來(lái),但在一天后分享的詳細(xì)介紹伊朗網(wǎng)絡(luò)戰(zhàn)術(shù)和技術(shù)的私密行業(yè)通知 (PIN) 中卻提到:信息表明伊朗黑客已嘗試?yán)贸R?jiàn)漏洞 (CVE) 2019-11510。

FBI 評(píng)估了自 2019 年末以來(lái)發(fā)生的 VPN 服務(wù)器漏洞攻擊,發(fā)現(xiàn)其波及廣泛,已影響到美國(guó)和其他國(guó)家的許多部門。

漏洞緩解措施和安全建議

FBI 建議美國(guó)市政當(dāng)局仔細(xì)閱讀國(guó)家安全局 (NSA) 的 VPN 漏洞緩解建議,采取以下措施來(lái)防御針對(duì)與市政網(wǎng)絡(luò)域的潛在攻擊,包括 “管理緊急服務(wù)、交通或選舉的本地基礎(chǔ)結(jié)構(gòu)”:

  • 警惕并立即安裝供應(yīng)商發(fā)布的補(bǔ)丁程序,尤其是面向 Web 的設(shè)備;
  • 阻止或監(jiān)視上述惡意IP地址以及其他在特殊時(shí)間段進(jìn)行遠(yuǎn)程登錄的 IP 地址;
  • 在將升級(jí)后的設(shè)備重新連接到外部網(wǎng)絡(luò)之前,請(qǐng)重置憑據(jù)。
  • 撤消并創(chuàng)建新的 VPN 服務(wù)器密鑰和證書(shū);
  • 使用多因素身份驗(yàn)證作為密碼的補(bǔ)充安全性措施;
  • 查看帳戶列表,以確保對(duì)手沒(méi)有創(chuàng)建新帳戶;
  • 在適當(dāng)?shù)牡胤綄?shí)施網(wǎng)絡(luò)分段;
  • 確保無(wú)法從 Internet 訪問(wèn)管理 Web 界面。

 
 

上一篇:csv_vul_plugins_202001

下一篇:二代征信系統(tǒng)明日上線工作 個(gè)人水電費(fèi)尚未納入采集