CISA 发布警告：黑客利用 Citrix，Pulse 和 F5 系统以及 MS Exchange 中的漏洞来瞄准政府机构

CISA发布了一份安全咨询警告，告称隶属于中国国家安全部的与中国有关联的APT组织实施了一波攻击。

中国由国家资助的黑客对美国政府网络进行了调查，寻找易受攻击的网络设备，这些设备可能会被利用最近披露的漏洞进行攻击。

“网络安全和基础设施安全局（CISA）一直观察到中国国家安全部（MSS）下属的网络威胁参与者使用公开可用的信息源以及常见的众所周知的策略，技术和程序（TTP）来针对美国政府代理商。” 阅读安全公告。“ CISA观察到了这些以及其他具有不同技能水平的威胁行为者，通常使用开源信息来计划和执行网络操作。”

中国黑客针对的漏洞列表为：

• CVE-2020-5902：F5 Big-IP Vulnerability – CISA在联邦政府和商业实体进行了事件响应约定，威胁参与者利用CVE-2020-5902进行了攻击。这是F5的Big-IP流量管理用户界面中的漏洞，允许网络威胁参与者执行任意系统命令，创建或删除文件，禁用服务和/或执行Java代码。
• CVE-2019-19781： Citrix Virtual Private Network (VPN) Appliances – CISA已观察到威胁行为者试图发现易受攻击的Citrix VPN设备。CVE-2019-19781使演员能够执行目录遍历攻击。
• CVE-2019-11510：Pulse Secure VPN Servers – CISA在联邦政府和商业实体进行了多次事件响应活动，威胁参与者利用CVE-2019-11510（一种影响Pulse Secure VPN设备的任意文件读取漏洞）来访问受害者网络。尽管Pulse Secure于2019年4月发布了CVE-2019-11510的补丁程序，但CISA观察到受害组织在对其VPN设备进行补丁修复后数月使用了受到破坏的Active Directory凭据的事件。
• CVE-2020-0688：Microsoft Exchange Server – CISA已观察到参与者利用CVE-2020-0688进行远程代码执行以启用目标网络的电子邮件收集。

CISA还警告说，威胁行为者正在利用Microsoft Exchange CVE-2020-0688 RCE漏洞来访问来自联邦政府环境中的交换服务器的电子邮件。

根据该通报，一些攻击已经成功，并使中国黑客能够渗透到联邦网络。

“根据美国司法部最近的起诉书，与MSS有关的参与者针对了美国和其他国家/地区的各个行业，包括高科技制造业；医疗器械，土木和工业工程；商业，教育和游戏软件；太阳能; 药品；和防御-在持续了十年的运动中。继续进行咨询。这些黑客为自己的个人利益和中国MSS的利益而行动。”

一旦在目标网络中立足，中国黑客就会使用各种工具进行横向移动，例如

• Cobalt Strike：Cobalt Strike是一个合法的对手模拟平台，旨在由安全专业人员用来评估网络的安全性。威胁参与者正在使用破解版本作为其攻击的一部分，以使对受感染系统的后门访问和在网络上部署其他工具成为可能。
• China Chopper Web Shell：此工具允许威胁攻击者在公开暴露的Web服务器上安装PHP，ASP，ASPX，JSP和CFM Webshell（后门）。一旦 安装了China Chopper Web Shell，攻击者就可以通过公开的网站完全访问远程服务器。
• Mimikatz：Mimikatz是一种利用后的工具，攻击者可以使用该工具转储存储在计算机内存中的Windows凭据。威胁参与者（包括勒索软件操作）通常使用此工具，利用该工具来获取对管理员凭据的访问权，从而损害Windows域控制器。

CISA建议私人公司和政府机构采取必要的对策，并在其基础架构中修补设备：

“ CISA和FBI还建议组织定期审核其配置和补丁程序管理程序，以确保它们可以跟踪和缓解新出现的威胁。实施严格的配置和补丁管理程序将阻碍复杂的网络威胁行为者的操作，并保护企业的资源和信息系统，”国家的咨询。

在可以安装的补丁列表下方，这些补丁可以阻止中国黑客和其他威胁行为者利用它们：