安全動態(tài)

國家黑客利用VPN服務(wù)器漏洞入侵美國政府網(wǎng)絡(luò)

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2020-01-20    瀏覽次數(shù):
 

信息來源:安全牛

近日,F(xiàn)BI 在一次安全警報(bào)中表示,有國家(伊朗)黑客利用 Pulse Secure VPN 服務(wù)器的嚴(yán)重漏洞,破壞了美國市政府和美國金融公司的網(wǎng)絡(luò)。

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 于 1 月 10 日警告企業(yè),修補(bǔ)其 Pulse Secure VPN 服務(wù)器以防止利用漏洞 CVE-2019-11510 的攻擊。

該漏洞使未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以發(fā)送特制的 URI,以連接到易受攻擊的服務(wù)器并讀取包含用戶憑據(jù)的敏感文件,并在后繼的攻擊階段用于控制組織的系統(tǒng)等。

在未打補(bǔ)丁的系統(tǒng)上,該漏洞允許無有效用戶名和密碼的人遠(yuǎn)程連接到公司網(wǎng)絡(luò),關(guān)閉多因素身份驗(yàn)證控制,遠(yuǎn)程查看純文本日志(包括 Active Directory 帳戶和緩存的密碼)。

美國多家機(jī)構(gòu)實(shí)體遭到入侵

FBI 表示,自 2019 年 8 月以來,身份不明的威脅行為者已使用 CVE-2019-11510 安全漏洞 “入侵著名的美國實(shí)體機(jī)構(gòu)”,包括一家金融機(jī)構(gòu)和一個市政府網(wǎng)絡(luò)。

在 2019 年 8 月,攻擊者通過利用未修補(bǔ) CVE-2019-11510 漏洞的服務(wù)器來訪問美國一家金融機(jī)構(gòu)的研究網(wǎng)絡(luò)。

在同一個月內(nèi),攻擊者利用相同漏洞的攻擊破壞了美國市政政府網(wǎng)絡(luò)。

根據(jù) FBI 的報(bào)道,針對和破壞美國市政府網(wǎng)絡(luò)的攻擊發(fā)生在 2019 年 8 月中。這次攻擊中,攻擊者能夠枚舉和泄露用戶的帳戶、主機(jī)配置信息和會話標(biāo)識符,從而使他們能夠進(jìn)一步訪問內(nèi)部網(wǎng)絡(luò)。目前,聯(lián)邦調(diào)查局正在繼續(xù)收集對該事件的失陷指標(biāo)。

根據(jù)兩次攻擊中使用的戰(zhàn)術(shù),技術(shù)和程序 (TTP) 的復(fù)雜程度,F(xiàn)BI 認(rèn)為,身份不明的國家黑客參與了這兩次攻擊;但是,尚不清楚是否是孤立事件。

FBI 稱,成功地針對 CVE-2019-11510 漏洞的攻擊案例不僅限于上述兩家機(jī)構(gòu)。尚未正式確認(rèn)的被攻擊機(jī)構(gòu)還包括國際貨幣兌換平臺 Travelex,該公司在未修補(bǔ)其 Pulse Secure VNP 服務(wù)器后于12月3日遭到 Sodinokibi 勒索軟件的攻擊,攻擊者要求提供 300 萬美元的贖金。

Travelex 在 2019 年 9 月就接到了服務(wù)器脆弱性警告,但是直到被勒索軟件也沒有做出回應(yīng)或者修補(bǔ)漏洞。

PulseSecure 首席市場官 Scott Gordon (CISSP) 告訴媒體,攻擊者正在通過利用 VPN 接口的交互提示向用戶嘗試分發(fā)和激活勒索軟件,利用 “未打補(bǔ)丁的VPN服務(wù)器傳播惡意軟件 REvil (Sodinokibi)?!?

可能是伊朗黑客

盡管 FBI 并未將這些攻擊直接與伊朗支持的黑客聯(lián)系起來,但在一天后分享的詳細(xì)介紹伊朗網(wǎng)絡(luò)戰(zhàn)術(shù)和技術(shù)的私密行業(yè)通知 (PIN) 中卻提到:信息表明伊朗黑客已嘗試?yán)贸R娐┒?(CVE) 2019-11510。

FBI 評估了自 2019 年末以來發(fā)生的 VPN 服務(wù)器漏洞攻擊,發(fā)現(xiàn)其波及廣泛,已影響到美國和其他國家的許多部門。

漏洞緩解措施和安全建議

FBI 建議美國市政當(dāng)局仔細(xì)閱讀國家安全局 (NSA) 的 VPN 漏洞緩解建議,采取以下措施來防御針對與市政網(wǎng)絡(luò)域的潛在攻擊,包括 “管理緊急服務(wù)、交通或選舉的本地基礎(chǔ)結(jié)構(gòu)”:

  • 警惕并立即安裝供應(yīng)商發(fā)布的補(bǔ)丁程序,尤其是面向 Web 的設(shè)備;
  • 阻止或監(jiān)視上述惡意IP地址以及其他在特殊時間段進(jìn)行遠(yuǎn)程登錄的 IP 地址;
  • 在將升級后的設(shè)備重新連接到外部網(wǎng)絡(luò)之前,請重置憑據(jù)。
  • 撤消并創(chuàng)建新的 VPN 服務(wù)器密鑰和證書;
  • 使用多因素身份驗(yàn)證作為密碼的補(bǔ)充安全性措施;
  • 查看帳戶列表,以確保對手沒有創(chuàng)建新帳戶;
  • 在適當(dāng)?shù)牡胤綄?shí)施網(wǎng)絡(luò)分段;
  • 確保無法從 Internet 訪問管理 Web 界面。

 
 

上一篇:csv_vul_plugins_202001

下一篇:二代征信系統(tǒng)明日上線工作 個人水電費(fèi)尚未納入采集