信息來(lái)源:安全牛
近日�����,F(xiàn)BI 在一次安全警報(bào)中表示�,有國(guó)家(伊朗)黑客利用 Pulse Secure VPN 服務(wù)器的嚴(yán)重漏洞,破壞了美國(guó)市政府和美國(guó)金融公司的網(wǎng)絡(luò)��。
美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 于 1 月 10 日警告企業(yè)�����,修補(bǔ)其 Pulse Secure VPN 服務(wù)器以防止利用漏洞 CVE-2019-11510 的攻擊。
該漏洞使未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以發(fā)送特制的 URI�,以連接到易受攻擊的服務(wù)器并讀取包含用戶憑據(jù)的敏感文件,并在后繼的攻擊階段用于控制組織的系統(tǒng)等����。
在未打補(bǔ)丁的系統(tǒng)上���,該漏洞允許無(wú)有效用戶名和密碼的人遠(yuǎn)程連接到公司網(wǎng)絡(luò)�,關(guān)閉多因素身份驗(yàn)證控制�����,遠(yuǎn)程查看純文本日志(包括 Active Directory 帳戶和緩存的密碼)���。
美國(guó)多家機(jī)構(gòu)實(shí)體遭到入侵
FBI 表示�,自 2019 年 8 月以來(lái)��,身份不明的威脅行為者已使用 CVE-2019-11510 安全漏洞 “入侵著名的美國(guó)實(shí)體機(jī)構(gòu)”�����,包括一家金融機(jī)構(gòu)和一個(gè)市政府網(wǎng)絡(luò)��。
在 2019 年 8 月,攻擊者通過(guò)利用未修補(bǔ) CVE-2019-11510 漏洞的服務(wù)器來(lái)訪問(wèn)美國(guó)一家金融機(jī)構(gòu)的研究網(wǎng)絡(luò)�。
在同一個(gè)月內(nèi),攻擊者利用相同漏洞的攻擊破壞了美國(guó)市政政府網(wǎng)絡(luò)��。
根據(jù) FBI 的報(bào)道��,針對(duì)和破壞美國(guó)市政府網(wǎng)絡(luò)的攻擊發(fā)生在 2019 年 8 月中���。這次攻擊中��,攻擊者能夠枚舉和泄露用戶的帳戶��、主機(jī)配置信息和會(huì)話標(biāo)識(shí)符�����,從而使他們能夠進(jìn)一步訪問(wèn)內(nèi)部網(wǎng)絡(luò)�����。目前�����,聯(lián)邦調(diào)查局正在繼續(xù)收集對(duì)該事件的失陷指標(biāo)��。
根據(jù)兩次攻擊中使用的戰(zhàn)術(shù)���,技術(shù)和程序 (TTP) 的復(fù)雜程度����,F(xiàn)BI 認(rèn)為��,身份不明的國(guó)家黑客參與了這兩次攻擊���;但是,尚不清楚是否是孤立事件�。
FBI 稱,成功地針對(duì) CVE-2019-11510 漏洞的攻擊案例不僅限于上述兩家機(jī)構(gòu)�。尚未正式確認(rèn)的被攻擊機(jī)構(gòu)還包括國(guó)際貨幣兌換平臺(tái) Travelex,該公司在未修補(bǔ)其 Pulse Secure VNP 服務(wù)器后于12月3日遭到 Sodinokibi 勒索軟件的攻擊���,攻擊者要求提供 300 萬(wàn)美元的贖金�����。
Travelex 在 2019 年 9 月就接到了服務(wù)器脆弱性警告����,但是直到被勒索軟件也沒(méi)有做出回應(yīng)或者修補(bǔ)漏洞。
PulseSecure 首席市場(chǎng)官 Scott Gordon (CISSP) 告訴媒體�,攻擊者正在通過(guò)利用 VPN 接口的交互提示向用戶嘗試分發(fā)和激活勒索軟件,利用 “未打補(bǔ)丁的VPN服務(wù)器傳播惡意軟件 REvil (Sodinokibi)���?����!?
可能是伊朗黑客
盡管 FBI 并未將這些攻擊直接與伊朗支持的黑客聯(lián)系起來(lái)���,但在一天后分享的詳細(xì)介紹伊朗網(wǎng)絡(luò)戰(zhàn)術(shù)和技術(shù)的私密行業(yè)通知 (PIN) 中卻提到:信息表明伊朗黑客已嘗試?yán)贸R?jiàn)漏洞 (CVE) 2019-11510。
FBI 評(píng)估了自 2019 年末以來(lái)發(fā)生的 VPN 服務(wù)器漏洞攻擊���,發(fā)現(xiàn)其波及廣泛�����,已影響到美國(guó)和其他國(guó)家的許多部門�����。
漏洞緩解措施和安全建議
FBI 建議美國(guó)市政當(dāng)局仔細(xì)閱讀國(guó)家安全局 (NSA) 的 VPN 漏洞緩解建議���,采取以下措施來(lái)防御針對(duì)與市政網(wǎng)絡(luò)域的潛在攻擊���,包括 “管理緊急服務(wù)、交通或選舉的本地基礎(chǔ)結(jié)構(gòu)”:
-
警惕并立即安裝供應(yīng)商發(fā)布的補(bǔ)丁程序���,尤其是面向 Web 的設(shè)備�;
-
阻止或監(jiān)視上述惡意IP地址以及其他在特殊時(shí)間段進(jìn)行遠(yuǎn)程登錄的 IP 地址�����;
-
在將升級(jí)后的設(shè)備重新連接到外部網(wǎng)絡(luò)之前�,請(qǐng)重置憑據(jù)�����。
-
撤消并創(chuàng)建新的 VPN 服務(wù)器密鑰和證書(shū)���;
-
使用多因素身份驗(yàn)證作為密碼的補(bǔ)充安全性措施�����;
-
查看帳戶列表���,以確保對(duì)手沒(méi)有創(chuàng)建新帳戶��;
-
在適當(dāng)?shù)牡胤綄?shí)施網(wǎng)絡(luò)分段����;
-
確保無(wú)法從 Internet 訪問(wèn)管理 Web 界面�����。
