信息來源:Freebuf
黑客通過結合VPN漏洞與最近的Windows CVE-2020-1472安全漏洞,入侵了美國選舉支持系統(tǒng),并獲得了訪問權限。
美國網(wǎng)絡安全與基礎設施安全局(CISA)表示,APT攻擊者使用此漏洞鏈接策略,攻擊聯(lián)邦和SLTT(州,地方,部落和領土)政府網(wǎng)絡以及選舉組織,基礎設施。
選舉支持系統(tǒng)遭到破壞
CISA和FBI聯(lián)合發(fā)表的安全公告表示:“存儲在政府網(wǎng)絡中的選舉信息可能會存在一些風險”這次威脅活動會導致未經(jīng)授權使用選舉支持系統(tǒng)的某些情況。
不過,目前沒有證據(jù)表明高級持續(xù)威脅(APT)攻擊者能夠使用其訪問權來破壞“選舉數(shù)據(jù)的完整性”。
為了獲得對這些系統(tǒng)的訪問權限,攻擊者利用了Fortinet FortiOS安全套接字層(SSL)VPN中的CVE-2018-13379漏洞或MobileIron統(tǒng)一端點管理(UEM)中的CVE-2020-15505漏洞,使移動設備獲得初始訪問權限。
然后,再利用Windows Netlogon身份驗證協(xié)議中的嚴重安全漏洞CVE-2020-1472(又名Zerologon)。攻擊者可以在成功利用此漏洞后將特權提升給域管理員,從而控制整個域并更改用戶的密碼。上周,微軟還警告伊朗支持的黑客組織MERCURY在其攻擊中積極利用Zerologon。
CISA表示: 經(jīng)過觀察,攻擊者使用合法的遠程訪問工具(例如VPN和遠程桌面協(xié)議(RDP))來使用受損的憑據(jù)訪問環(huán)境。
未來可能被利用的VPN漏洞
APT黑客已利用CVE-2018-13379 FortiOS SSL VPN Web門戶漏洞獲取網(wǎng)絡訪問權限,CISA警告說,他們還可以在攻擊中使用任何其他漏洞來針對未修補和面向Internet的網(wǎng)絡邊緣設備。
所以,CISA建議可能受到這些攻擊的組織立即修補其暴露于Internet的網(wǎng)絡基礎結構中的所有已知漏洞。
美國網(wǎng)絡安全機構強調(diào)了以下漏洞,因為APT攻擊者很可能會在未來針對政府和關鍵基礎設施網(wǎng)絡的攻擊中使用這些漏洞以獲得初步訪問權限:
-
Citrix NetScaler (CVE-2019-19781)
-
MobileIron (CVE-2020-15505)
-
Pulse Secure (CVE-2019-11510)
-
Palo Alto Networks (CVE-2020-2021)
-
F5 BIG-IP (CVE-2020-5902)
在以前的攻擊中, CVE-2019-11510 Pulse VPN漏洞,CVE-2019-19781 Citrix NetScaler漏洞和CVE-2020-5902的嚴重F5 BIG-IP漏洞已被利用過。
美國大選將正式開始,近幾個月,不斷有媒體報道各種針對選舉活動的網(wǎng)絡威脅。9月,微軟還警告說,多個國家的的APT攻擊者將針對2020年美國大選。本月,CISA警告了越來越多的針對Emotet的攻擊,這些攻擊已針對多個美國州和地方政府。