Согласно ФБР и CISA, киберпреступники приобрели доступ в правительственных сетях объединение ошибок VPN и Windows.
Хакеры атаковали федеральные, государственные и местные правительственные сети, а также неправительственные услуги.
CISA известно о нескольких атаках, которые привели к несанкционированным атакам. доступ в избирательных системах. Однако на сегодняшний день CISA не имеет доказательств нарушения целостности данных о выборах.", Говорится в предупреждении безопасности.
Эксперты считают, что Хакеры не обязательно нацеливаться на государственные сети для получения информации о выборах. Однако даже эта информация может быть скомпрометирована, поскольку находится в сети.
Комбинация VPN и Windows Зеролог уязвимостей
По данным ФБР и CISA, наблюдаемые атаки объединили две уязвимости, известные как CVE-2018-13379 и CVE-2020-1472.
CVE-2018-13379 - уязвимость в Fortinet FortiOS Secure Socket Layer (SSL) VPN, локальный VPN-сервер, предназначенный для получение доступа к удаленным корпоративным сетям, уязвимость позволяет злоумышленникам загружать злонамеренно архив в необновляемых системах и да взять под контроль VPN-серверы Fortinet.
С другой стороны, уязвимость CVE-2020-1472, также известная как Зерологон, находится в Netlogon, протокол, используемый рабочими станциями Windows для проверки подлинности на сервере Windows, который действует как контроллер домена.
Согласно совместному уведомлению CISA и ФБР, злоумышленники объединяют эти две уязвимости, чтобы взломать Fortinet серверы а затем получить доступ к внутренним сетям с помощью уязвимости Zerologon.
Злоумышленники используют законные инструменты удаленного доступа, такие как VPN и протокол удаленного рабочего стола (RDP), для доступа к среде с помощью скомпрометированных учетных данных.", - заявили специалисты.
Что касается злоумышленников, то ФБР и CISA не сообщили многих подробностей. Однако они сказали, что это было расширенные группы APT (государственные хакерские группы). На прошлой неделе Microsoft заявил, что заметил ее Иранская APT Mercury Team (MuddyWatter) использовать ошибку Zerologon.
Специалисты рекомендуют публичные и частные предприятий из США в обновить свои системы исправить ошибки как VPN, так и Windows Обновления для этих ошибок доступны в течение некоторого времени.
Кроме того, CISA и ФБР предупредили, что Хакеры могли использовать любые другие уязвимости в продуктах VPN:
- Корпоративный VPN Pulse Secure «Connect» (CVE-2019-11510)
- VPN-серверы Palo Alto Networks «Global Protect» (CVE-2019-1579)
- Серверы Citrix «ADC» и сетевые шлюзы Citrix (CVE-2019-19781)
- Серверы управления мобильными устройствами MobileIron (CVE-2020-15505)
- Сетевые балансировщики F5 BIG-IP (CVE-2020-5902)
Все эти уязвимости обеспечивают «начальный доступ» к серверам, используемым в корпоративных и государственных сетях. Кроме того, указанные выше VPN уязвимости, как и Fortinet, легко сочетается с ошибкой Windows Zerologon.
Greek
Chinese (Simplified)
English
Greek
Russian