APT 利用 VPN 产品和 Zerologon 漏洞攻击美国政府网络

美国政府对新发现的APT攻击发出警告，这些攻击利用了VPN产品和最近披露的Zerologon漏洞。

来自美国联邦调查局和网络安全与基础设施安全局(CISA)的联合警报显示，政府和非政府目标在这次行动中受到了攻击。

它警告说，访问联邦、州、地方、部落和地区（SLTT）政府网络可能会使选举信息处于危险之中，尽管没有证据表明这些数据已经被泄露，或者攻击者的最终目的是窃取这些数据。

“CISA知道有多种情况，其中利用了Fortinet FortiOS Secure Socket Layer (SSL) VPN漏洞CVE-2018-13379来访问网络。在较小程度上，CISA还观察到威胁参与者利用MobileIron漏洞CVE-2020-15505。尽管最近已经发现了这些漏洞，但这项活动仍在进行中，并且仍在继续，”警告指出。

“获得初始访问权限后，行动者利用 CVE-2020-1472 Zerologon破坏所有Active Directory（AD）身份服务。然后，已经观察到使用合法的远程访问工具（例如VPN和远程桌面协议（RDP））来使用具有受损凭据的环境来访问Actor。观察到的活动针对多个部门，而不仅限于SLTT实体。”

CISA警告说，利用Juniper（CVE-2020-1631），Pulse Secure（CVE-2019-11510），Citrix NetScaler（CVE-2019-19781）和Palo Alto Networks（CVE-2020-2021）产品中的类似错误，可能会利用这些漏洞与Zerologon链接以达到相同的结果。

Zerologon已由Microsoft于8月份修复，被认为非常重要，以至于CISA在9月发布了一项紧急指令，要求所有民政部门修补此错误。