行業(yè)動態(tài)

黑客利用VPN漏洞入侵美國政府選舉支持系統(tǒng)

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2020-10-14    瀏覽次數(shù):
 

信息來源:Freebuf


黑客通過結(jié)合VPN漏洞與最近的Windows CVE-2020-1472安全漏洞,入侵了美國選舉支持系統(tǒng),并獲得了訪問權(quán)限。

美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)表示,APT攻擊者使用此漏洞鏈接策略,攻擊聯(lián)邦和SLTT(州,地方,部落和領(lǐng)土)政府網(wǎng)絡(luò)以及選舉組織,基礎(chǔ)設(shè)施。

選舉支持系統(tǒng)遭到破壞

CISA和FBI聯(lián)合發(fā)表的安全公告表示:“存儲在政府網(wǎng)絡(luò)中的選舉信息可能會存在一些風(fēng)險”這次威脅活動會導(dǎo)致未經(jīng)授權(quán)使用選舉支持系統(tǒng)的某些情況。

不過,目前沒有證據(jù)表明高級持續(xù)威脅(APT)攻擊者能夠使用其訪問權(quán)來破壞“選舉數(shù)據(jù)的完整性”。

為了獲得對這些系統(tǒng)的訪問權(quán)限,攻擊者利用了Fortinet FortiOS安全套接字層(SSL)VPN中的CVE-2018-13379漏洞或MobileIron統(tǒng)一端點管理(UEM)中的CVE-2020-15505漏洞,使移動設(shè)備獲得初始訪問權(quán)限。

然后,再利用Windows Netlogon身份驗證協(xié)議中的嚴重安全漏洞CVE-2020-1472(又名Zerologon)。攻擊者可以在成功利用此漏洞后將特權(quán)提升給域管理員,從而控制整個域并更改用戶的密碼。上周,微軟還警告伊朗支持的黑客組織MERCURY在其攻擊中積極利用Zerologon。

CISA表示: 經(jīng)過觀察,攻擊者使用合法的遠程訪問工具(例如VPN和遠程桌面協(xié)議(RDP))來使用受損的憑據(jù)訪問環(huán)境。

未來可能被利用的VPN漏洞

APT黑客已利用CVE-2018-13379 FortiOS SSL VPN Web門戶漏洞獲取網(wǎng)絡(luò)訪問權(quán)限,CISA警告說,他們還可以在攻擊中使用任何其他漏洞來針對未修補和面向Internet的網(wǎng)絡(luò)邊緣設(shè)備。

所以,CISA建議可能受到這些攻擊的組織立即修補其暴露于Internet的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)中的所有已知漏洞。

美國網(wǎng)絡(luò)安全機構(gòu)強調(diào)了以下漏洞,因為APT攻擊者很可能會在未來針對政府和關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)的攻擊中使用這些漏洞以獲得初步訪問權(quán)限:

  • Citrix NetScaler (CVE-2019-19781)
  • MobileIron (CVE-2020-15505)
  • Pulse Secure (CVE-2019-11510)
  • Palo Alto Networks (CVE-2020-2021)
  • F5 BIG-IP (CVE-2020-5902)

在以前的攻擊中, CVE-2019-11510 Pulse VPN漏洞,CVE-2019-19781 Citrix NetScaler漏洞和CVE-2020-5902的嚴重F5 BIG-IP漏洞已被利用過。

美國大選將正式開始,近幾個月,不斷有媒體報道各種針對選舉活動的網(wǎng)絡(luò)威脅。9月,微軟還警告說,多個國家的的APT攻擊者將針對2020年美國大選。本月,CISA警告了越來越多的針對Emotet的攻擊,這些攻擊已針對多個美國州和地方政府。


 
 

上一篇:Mozilla Firefox 81.0.2發(fā)布:修復(fù)無法訪問Twitter網(wǎng)站問題

下一篇:2020年10月14日聚銘安全速遞