APT 利用 VPN 产品和 Zerologon 漏洞攻击美国政府网络

Andrew 2020-10-13
专栏 - 资讯 发布于 2020-10-13 14:42:00 阅读 42 评论 0

美国政府对新发现的APT攻击发出警告,这些攻击利用了VPN产品和最近披露的Zerologon漏洞。

来自美国联邦调查局和网络安全与基础设施安全局(CISA)的联合警报显示,政府和非政府目标在这次行动中受到了攻击。

它警告说,访问联邦、州、地方、部落和地区(SLTT)政府网络可能会使选举信息处于危险之中,尽管没有证据表明这些数据已经被泄露,或者攻击者的最终目的是窃取这些数据。

“CISA知道有多种情况,其中利用了Fortinet FortiOS Secure Socket Layer (SSL) VPN漏洞CVE-2018-13379来访问网络。在较小程度上,CISA还观察到威胁参与者利用MobileIron漏洞CVE-2020-15505。尽管最近已经发现了这些漏洞,但这项活动仍在进行中,并且仍在继续,”警告指出。

“获得初始访问权限后,行动者利用 CVE-2020-1472 Zerologon破坏所有Active Directory(AD)身份服务。然后,已经观察到使用合法的远程访问工具(例如VPN和远程桌面协议(RDP))来使用具有受损凭据的环境来访问Actor。观察到的活动针对多个部门,而不仅限于SLTT实体。”

CISA警告说,利用Juniper(CVE-2020-1631),Pulse Secure(CVE-2019-11510),Citrix NetScaler(CVE-2019-19781)和Palo Alto Networks(CVE-2020-2021)产品中的类似错误,可能会利用这些漏洞与Zerologon链接以达到相同的结果。

Zerologon已由Microsoft于8月份修复,被认为非常重要,以至于CISA在9月发布了一项紧急指令,要求所有民政部门修补此错误。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!