信息來源:安全牛
近日,F(xiàn)BI 在一次安全警報(bào)中表示,有國家(伊朗)黑客利用 Pulse Secure VPN 服務(wù)器的嚴(yán)重漏洞,破壞了美國市政府和美國金融公司的網(wǎng)絡(luò)。
美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 于 1 月 10 日警告企業(yè),修補(bǔ)其 Pulse Secure VPN 服務(wù)器以防止利用漏洞 CVE-2019-11510 的攻擊。
該漏洞使未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以發(fā)送特制的 URI,以連接到易受攻擊的服務(wù)器并讀取包含用戶憑據(jù)的敏感文件,并在后繼的攻擊階段用于控制組織的系統(tǒng)等。
在未打補(bǔ)丁的系統(tǒng)上,該漏洞允許無有效用戶名和密碼的人遠(yuǎn)程連接到公司網(wǎng)絡(luò),關(guān)閉多因素身份驗(yàn)證控制,遠(yuǎn)程查看純文本日志(包括 Active Directory 帳戶和緩存的密碼)。
美國多家機(jī)構(gòu)實(shí)體遭到入侵
FBI 表示,自 2019 年 8 月以來,身份不明的威脅行為者已使用 CVE-2019-11510 安全漏洞 “入侵著名的美國實(shí)體機(jī)構(gòu)”,包括一家金融機(jī)構(gòu)和一個市政府網(wǎng)絡(luò)。
在 2019 年 8 月,攻擊者通過利用未修補(bǔ) CVE-2019-11510 漏洞的服務(wù)器來訪問美國一家金融機(jī)構(gòu)的研究網(wǎng)絡(luò)。
在同一個月內(nèi),攻擊者利用相同漏洞的攻擊破壞了美國市政政府網(wǎng)絡(luò)。
根據(jù) FBI 的報(bào)道,針對和破壞美國市政府網(wǎng)絡(luò)的攻擊發(fā)生在 2019 年 8 月中。這次攻擊中,攻擊者能夠枚舉和泄露用戶的帳戶、主機(jī)配置信息和會話標(biāo)識符,從而使他們能夠進(jìn)一步訪問內(nèi)部網(wǎng)絡(luò)。目前,聯(lián)邦調(diào)查局正在繼續(xù)收集對該事件的失陷指標(biāo)。
根據(jù)兩次攻擊中使用的戰(zhàn)術(shù),技術(shù)和程序 (TTP) 的復(fù)雜程度,F(xiàn)BI 認(rèn)為,身份不明的國家黑客參與了這兩次攻擊;但是,尚不清楚是否是孤立事件。
FBI 稱,成功地針對 CVE-2019-11510 漏洞的攻擊案例不僅限于上述兩家機(jī)構(gòu)。尚未正式確認(rèn)的被攻擊機(jī)構(gòu)還包括國際貨幣兌換平臺 Travelex,該公司在未修補(bǔ)其 Pulse Secure VNP 服務(wù)器后于12月3日遭到 Sodinokibi 勒索軟件的攻擊,攻擊者要求提供 300 萬美元的贖金。
Travelex 在 2019 年 9 月就接到了服務(wù)器脆弱性警告,但是直到被勒索軟件也沒有做出回應(yīng)或者修補(bǔ)漏洞。
PulseSecure 首席市場官 Scott Gordon (CISSP) 告訴媒體,攻擊者正在通過利用 VPN 接口的交互提示向用戶嘗試分發(fā)和激活勒索軟件,利用 “未打補(bǔ)丁的VPN服務(wù)器傳播惡意軟件 REvil (Sodinokibi)?!?
可能是伊朗黑客
盡管 FBI 并未將這些攻擊直接與伊朗支持的黑客聯(lián)系起來,但在一天后分享的詳細(xì)介紹伊朗網(wǎng)絡(luò)戰(zhàn)術(shù)和技術(shù)的私密行業(yè)通知 (PIN) 中卻提到:信息表明伊朗黑客已嘗試?yán)贸R娐┒?(CVE) 2019-11510。
FBI 評估了自 2019 年末以來發(fā)生的 VPN 服務(wù)器漏洞攻擊,發(fā)現(xiàn)其波及廣泛,已影響到美國和其他國家的許多部門。
漏洞緩解措施和安全建議
FBI 建議美國市政當(dāng)局仔細(xì)閱讀國家安全局 (NSA) 的 VPN 漏洞緩解建議,采取以下措施來防御針對與市政網(wǎng)絡(luò)域的潛在攻擊,包括 “管理緊急服務(wù)、交通或選舉的本地基礎(chǔ)結(jié)構(gòu)”:
-
警惕并立即安裝供應(yīng)商發(fā)布的補(bǔ)丁程序,尤其是面向 Web 的設(shè)備;
-
阻止或監(jiān)視上述惡意IP地址以及其他在特殊時間段進(jìn)行遠(yuǎn)程登錄的 IP 地址;
-
在將升級后的設(shè)備重新連接到外部網(wǎng)絡(luò)之前,請重置憑據(jù)。
-
撤消并創(chuàng)建新的 VPN 服務(wù)器密鑰和證書;
-
使用多因素身份驗(yàn)證作為密碼的補(bǔ)充安全性措施;
-
查看帳戶列表,以確保對手沒有創(chuàng)建新帳戶;
-
在適當(dāng)?shù)牡胤綄?shí)施網(wǎng)絡(luò)分段;
-
確保無法從 Internet 訪問管理 Web 界面。