信息來源：安全牛

近日，F(xiàn)BI 在一次安全警報中表示，有國家（伊朗）黑客利用 Pulse Secure VPN 服務(wù)器的嚴重漏洞，破壞了美國市政府和美國金融公司的網(wǎng)絡(luò)。

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 于 1 月 10 日警告企業(yè)，修補其 Pulse Secure VPN 服務(wù)器以防止利用漏洞 CVE-2019-11510 的攻擊。

該漏洞使未經(jīng)身份驗證的遠程攻擊者可以發(fā)送特制的 URI，以連接到易受攻擊的服務(wù)器并讀取包含用戶憑據(jù)的敏感文件，并在后繼的攻擊階段用于控制組織的系統(tǒng)等。

在未打補丁的系統(tǒng)上，該漏洞允許無有效用戶名和密碼的人遠程連接到公司網(wǎng)絡(luò)，關(guān)閉多因素身份驗證控制，遠程查看純文本日志（包括 Active Directory 帳戶和緩存的密碼）。

美國多家機構(gòu)實體遭到入侵

FBI 表示，自 2019 年 8 月以來，身份不明的威脅行為者已使用 CVE-2019-11510 安全漏洞 “入侵著名的美國實體機構(gòu)”，包括一家金融機構(gòu)和一個市政府網(wǎng)絡(luò)。

在 2019 年 8 月，攻擊者通過利用未修補 CVE-2019-11510 漏洞的服務(wù)器來訪問美國一家金融機構(gòu)的研究網(wǎng)絡(luò)。

在同一個月內(nèi)，攻擊者利用相同漏洞的攻擊破壞了美國市政政府網(wǎng)絡(luò)。

根據(jù) FBI 的報道，針對和破壞美國市政府網(wǎng)絡(luò)的攻擊發(fā)生在 2019 年 8 月中。這次攻擊中，攻擊者能夠枚舉和泄露用戶的帳戶、主機配置信息和會話標識符，從而使他們能夠進一步訪問內(nèi)部網(wǎng)絡(luò)。目前，聯(lián)邦調(diào)查局正在繼續(xù)收集對該事件的失陷指標。

根據(jù)兩次攻擊中使用的戰(zhàn)術(shù)，技術(shù)和程序 (TTP) 的復(fù)雜程度，F(xiàn)BI 認為，身份不明的國家黑客參與了這兩次攻擊；但是，尚不清楚是否是孤立事件。

FBI 稱，成功地針對 CVE-2019-11510 漏洞的攻擊案例不僅限于上述兩家機構(gòu)。尚未正式確認的被攻擊機構(gòu)還包括國際貨幣兌換平臺 Travelex，該公司在未修補其 Pulse Secure VNP 服務(wù)器后于12月3日遭到 Sodinokibi 勒索軟件的攻擊，攻擊者要求提供 300 萬美元的贖金。

Travelex 在 2019 年 9 月就接到了服務(wù)器脆弱性警告，但是直到被勒索軟件也沒有做出回應(yīng)或者修補漏洞。

PulseSecure 首席市場官 Scott Gordon (CISSP) 告訴媒體，攻擊者正在通過利用 VPN 接口的交互提示向用戶嘗試分發(fā)和激活勒索軟件，利用 “未打補丁的VPN服務(wù)器傳播惡意軟件 REvil (Sodinokibi)。”

可能是伊朗黑客

盡管 FBI 并未將這些攻擊直接與伊朗支持的黑客聯(lián)系起來，但在一天后分享的詳細介紹伊朗網(wǎng)絡(luò)戰(zhàn)術(shù)和技術(shù)的私密行業(yè)通知 (PIN) 中卻提到：信息表明伊朗黑客已嘗試利用常見漏洞 (CVE) 2019-11510。

FBI 評估了自 2019 年末以來發(fā)生的 VPN 服務(wù)器漏洞攻擊，發(fā)現(xiàn)其波及廣泛，已影響到美國和其他國家的許多部門。

漏洞緩解措施和安全建議

FBI 建議美國市政當局仔細閱讀國家安全局 (NSA) 的 VPN 漏洞緩解建議，采取以下措施來防御針對與市政網(wǎng)絡(luò)域的潛在攻擊，包括 “管理緊急服務(wù)、交通或選舉的本地基礎(chǔ)結(jié)構(gòu)”：

• 警惕并立即安裝供應(yīng)商發(fā)布的補丁程序，尤其是面向 Web 的設(shè)備；
• 阻止或監(jiān)視上述惡意IP地址以及其他在特殊時間段進行遠程登錄的 IP 地址；
• 在將升級后的設(shè)備重新連接到外部網(wǎng)絡(luò)之前，請重置憑據(jù)。
• 撤消并創(chuàng)建新的 VPN 服務(wù)器密鑰和證書；
• 使用多因素身份驗證作為密碼的補充安全性措施；
• 查看帳戶列表，以確保對手沒有創(chuàng)建新帳戶；
• 在適當?shù)牡胤綄嵤┚W(wǎng)絡(luò)分段；
• 確保無法從 Internet 訪問管理 Web 界面。