美国网络安全和基础设施安全局 (CISA) 于 1 月 10 日警告企业,修补其 Pulse Secure VPN 服务器以防止利用漏洞 CVE-2019-11510 的攻击。
该漏洞使未经身份验证的远程攻击者可以发送特制的 URI,以连接到易受攻击的服务器并读取包含用户凭据的敏感文件,并在后继的攻击阶段用于控制组织的系统等。
在未打补丁的系统上,该漏洞允许无有效用户名和密码的人远程连接到公司网络,关闭多因素身份验证控制,远程查看纯文本日志(包括 Active Directory 帐户和缓存的密码)。
美国多家机构实体遭到入侵
FBI 表示,自 2019 年 8 月以来,身份不明的威胁行为者已使用 CVE-2019-11510 安全漏洞 “入侵著名的美国实体机构”,包括一家金融机构和一个市政府网络。
在 2019 年 8 月,攻击者通过利用未修补 CVE-2019-11510 漏洞的服务器来访问美国一家金融机构的研究网络。
在同一个月内,攻击者利用相同漏洞的攻击破坏了美国市政政府网络。
根据 FBI 的报道,针对和破坏美国市政府网络的攻击发生在 2019 年 8 月中。这次攻击中,攻击者能够枚举和泄露用户的帐户、主机配置信息和会话标识符,从而使他们能够进一步访问内部网络。目前,联邦调查局正在继续收集对该事件的失陷指标。
根据两次攻击中使用的战术,技术和程序 (TTP) 的复杂程度,FBI 认为,身份不明的国家黑客参与了这两次攻击;但是,尚不清楚是否是孤立事件。
FBI 称,成功地针对 CVE-2019-11510 漏洞的攻击案例不仅限于上述两家机构。尚未正式确认的被攻击机构还包括国际货币兑换平台 Travelex,该公司在未修补其 Pulse Secure VNP 服务器后于12月3日遭到 Sodinokibi 勒索软件的攻击,攻击者要求提供 300 万美元的赎金。
Travelex 在 2019 年 9 月就接到了服务器脆弱性警告,但是直到被勒索软件也没有做出回应或者修补漏洞。
PulseSecure 首席市场官 Scott Gordon (CISSP) 告诉媒体,攻击者正在通过利用 VPN 接口的交互提示向用户尝试分发和激活勒索软件,利用 “未打补丁的VPN服务器传播恶意软件 REvil (Sodinokibi)。”
可能是伊朗黑客
尽管 FBI 并未将这些攻击直接与伊朗支持的黑客联系起来,但在一天后分享的详细介绍伊朗网络战术和技术的私密行业通知 (PIN) 中却提到:信息表明伊朗黑客已尝试利用常见漏洞 (CVE) 2019-11510。
FBI 评估了自 2019 年末以来发生的 VPN 服务器漏洞攻击,发现其波及广泛,已影响到美国和其他国家的许多部门。
漏洞缓解措施和安全建议
FBI 建议美国市政当局仔细阅读国家安全局 (NSA) 的 VPN 漏洞缓解建议,采取以下措施来防御针对与市政网络域的潜在攻击,包括 “管理紧急服务、交通或选举的本地基础结构”:
防御措施
警惕并立即安装供应商发布的补丁程序,尤其是面向 Web 的设备;
阻止或监视上述恶意IP地址以及其他在特殊时间段进行远程登录的 IP 地址;
在将升级后的设备重新连接到外部网络之前,请重置凭据。
撤消并创建新的 VPN 服务器密钥和证书;
使用多因素身份验证作为密码的补充安全性措施;
查看帐户列表,以确保对手没有创建新帐户;
在适当的地方实施网络分段;
确保无法从 Internet 访问管理 Web 界面。
文章来源:安全牛,转载请标明出处,如有侵权请联系删除。