信息來(lái)源:Freebuf
黑客通過結(jié)合VPN漏洞與最近的Windows CVE-2020-1472安全漏洞����,入侵了美國(guó)選舉支持系統(tǒng),并獲得了訪問權(quán)限���。
美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)表示����,APT攻擊者使用此漏洞鏈接策略����,攻擊聯(lián)邦和SLTT(州,地方����,部落和領(lǐng)土)政府網(wǎng)絡(luò)以及選舉組織,基礎(chǔ)設(shè)施����。
選舉支持系統(tǒng)遭到破壞
CISA和FBI聯(lián)合發(fā)表的安全公告表示:“存儲(chǔ)在政府網(wǎng)絡(luò)中的選舉信息可能會(huì)存在一些風(fēng)險(xiǎn)”這次威脅活動(dòng)會(huì)導(dǎo)致未經(jīng)授權(quán)使用選舉支持系統(tǒng)的某些情況����。
不過,目前沒有證據(jù)表明高級(jí)持續(xù)威脅(APT)攻擊者能夠使用其訪問權(quán)來(lái)破壞“選舉數(shù)據(jù)的完整性”���。
為了獲得對(duì)這些系統(tǒng)的訪問權(quán)限���,攻擊者利用了Fortinet FortiOS安全套接字層(SSL)VPN中的CVE-2018-13379漏洞或MobileIron統(tǒng)一端點(diǎn)管理(UEM)中的CVE-2020-15505漏洞����,使移動(dòng)設(shè)備獲得初始訪問權(quán)限���。
然后���,再利用Windows Netlogon身份驗(yàn)證協(xié)議中的嚴(yán)重安全漏洞CVE-2020-1472(又名Zerologon)。攻擊者可以在成功利用此漏洞后將特權(quán)提升給域管理員���,從而控制整個(gè)域并更改用戶的密碼���。上周,微軟還警告伊朗支持的黑客組織MERCURY在其攻擊中積極利用Zerologon����。
CISA表示: 經(jīng)過觀察,攻擊者使用合法的遠(yuǎn)程訪問工具(例如VPN和遠(yuǎn)程桌面協(xié)議(RDP))來(lái)使用受損的憑據(jù)訪問環(huán)境���。
未來(lái)可能被利用的VPN漏洞
APT黑客已利用CVE-2018-13379 FortiOS SSL VPN Web門戶漏洞獲取網(wǎng)絡(luò)訪問權(quán)限���,CISA警告說(shuō)����,他們還可以在攻擊中使用任何其他漏洞來(lái)針對(duì)未修補(bǔ)和面向Internet的網(wǎng)絡(luò)邊緣設(shè)備����。
所以,CISA建議可能受到這些攻擊的組織立即修補(bǔ)其暴露于Internet的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)中的所有已知漏洞���。
美國(guó)網(wǎng)絡(luò)安全機(jī)構(gòu)強(qiáng)調(diào)了以下漏洞���,因?yàn)锳PT攻擊者很可能會(huì)在未來(lái)針對(duì)政府和關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)的攻擊中使用這些漏洞以獲得初步訪問權(quán)限:
-
Citrix NetScaler (CVE-2019-19781)
-
MobileIron (CVE-2020-15505)
-
Pulse Secure (CVE-2019-11510)
-
Palo Alto Networks (CVE-2020-2021)
-
F5 BIG-IP (CVE-2020-5902)
在以前的攻擊中, CVE-2019-11510 Pulse VPN漏洞���,CVE-2019-19781 Citrix NetScaler漏洞和CVE-2020-5902的嚴(yán)重F5 BIG-IP漏洞已被利用過���。
美國(guó)大選將正式開始,近幾個(gè)月���,不斷有媒體報(bào)道各種針對(duì)選舉活動(dòng)的網(wǎng)絡(luò)威脅。9月����,微軟還警告說(shuō)���,多個(gè)國(guó)家的的APT攻擊者將針對(duì)2020年美國(guó)大選。本月����,CISA警告了越來(lái)越多的針對(duì)Emotet的攻擊,這些攻擊已針對(duì)多個(gè)美國(guó)州和地方政府����。
