黑客组织连环VPN和Windows漏洞攻击美国政府网络

美国联邦调查局（FBI）和网络安全与基础设施安全局（CISA）在周五发布的联合安全警报中称，黑客通过结合VPN和Windows漏洞进入了政府网络。

攻击的目标是联邦和州、地方、部落，以及地区（SLTT）政府网络。这两个机构说，针对非政府网络的攻击也已被发现。

“CISA了解到一些此类活动导致未经授权访问选举支持系统的情况；但是，CISA迄今没有证据表明选举数据的完整性受到损害，“安全警报显示。

”虽然这些目标似乎没有被选中，因为它们靠近选举信息，但政府网络上的选举信息可能存在一些风险，“官员们还补充道。

攻击连锁了Fortinet VPN和Windows Zerologon漏洞。

根据联合警报，观察到的攻击结合了两个安全缺陷，即CVE-2018-13379和CVE-2020-1472

CVE-2018-13379是Fortinet FortiOS安全套接字层（SSL）VPN中的漏洞，该VPN是一种内置VPN服务器，旨在用作安全网关从偏远地区。

CVE-2018-13379，去年披露，允许攻击者在未修补的系统上上载恶意文件，并接管Fortinet VPN服务器。

CVE-2020-1472，也称为Zerologon，是Netlogon中的一个漏洞，Windows工作站用于针对作为域控制器运行的Windows服务器进行身份验证的协议。

该漏洞允许攻击者接管域控制器，管理整个内部/企业网络的服务器用户，通常包含所有连接工作站的密码。

CISA和FBI表示，攻击者结合这两个漏洞劫持Fortinet服务器，然后使用Zerologon转移并接管内部网络。

“参与者使用合法的远程访问工具，如VPN和远程桌面协议（RDP），用以访问具有受损凭据的环境，“这两个机构还补充道。

联合警报没有提供攻击者的详细信息，只是将他们描述为“高级持续威胁（APT）参与者”。

术语通常由网络安全专家描述国家资助的黑客组织。上周，微软说https://www.zdnet.com/article/microsoft-says-iranian-hackers-are-explaining-the-zeroologon-vulnerability/“target=”Βblank“>观察到伊朗APT Mercury（MuddyWatter）在最近的攻击中利用Zerologon漏洞，威胁参与者过去以针对美国政府机构而闻名

黑客链接不同VPN漏洞的危险

CISA和FBI都建议美国的私人和公共实体扇区更新系统来修补这两个漏洞，补丁已经提供了好几个月了。

此外，CISA和FBI还警告说，黑客可以用Fortinet漏洞交换VPN和网关产品中的任何其他漏洞，这些漏洞在过去几个月内已经被披露，并且提供了类似的访问权限。

Pulse Secure“Connect”企业VPN（CVE-2019-11510）
Palo Alto Networks中存在漏洞“全球保护”VPN服务器（CVE-2019-1579）
Citrix“ADC”服务器和Citrix网络网关（CVE-2019-19781）
MobileIron移动设备管理服务器（CVE-2020-15505）
F5大IP网络平衡器（CVE-2020-5902）

以上列出的所有漏洞都提供了对边缘上常用服务器的“初始访问”企业和政府网络。这些漏洞还可以很容易地与Zerologon Windows bug联系在一起，用于类似CISA观察到的Fortinet+Zerologon入侵。

proude Boys网站启动网络主机，谷歌云

新的自擦除芯片可用于检测假冒或篡改的产品

通过注册同意
2023-03-22 10:04:21

新人小程序+APP定制199元起

发放福利，助力中小企业发展，真正在互联网中受益

 点击询问定制

广告服务展示