English
 
查看详细details
您当前所在位置:首页 奥航智讯 行业最新动态 查看详细
行业最新动态 会员企业动态 GDPR
国家黑客利用VPN服务器漏洞入侵美国政府网络
文章来源:奥航智讯微信公众号  作者:SCA  发布时间:2020-01-19  浏览次数:561

美国网络安全和基础设施安全局 (CISA) 于 1 月 10 日警告企业,修补其 Pulse Secure VPN 服务器以防止利用漏洞 CVE-2019-11510 的攻击。


该漏洞使未经身份验证的远程攻击者可以发送特制的 URI,以连接到易受攻击的服务器并读取包含用户凭据的敏感文件,并在后继的攻击阶段用于控制组织的系统等。


在未打补丁的系统上,该漏洞允许无有效用户名和密码的人远程连接到公司网络,关闭多因素身份验证控制,远程查看纯文本日志(包括 Active Directory 帐户和缓存的密码)。



美国多家机构实体遭到入侵


FBI 表示,自 2019 年 8 月以来,身份不明的威胁行为者已使用 CVE-2019-11510 安全漏洞 “入侵著名的美国实体机构”,包括一家金融机构和一个市政府网络。


在 2019 年 8 月,攻击者通过利用未修补 CVE-2019-11510 漏洞的服务器来访问美国一家金融机构的研究网络。


在同一个月内,攻击者利用相同漏洞的攻击破坏了美国市政政府网络。


根据 FBI 的报道,针对和破坏美国市政府网络的攻击发生在 2019 年 8 月中。这次攻击中,攻击者能够枚举和泄露用户的帐户、主机配置信息和会话标识符,从而使他们能够进一步访问内部网络。目前,联邦调查局正在继续收集对该事件的失陷指标。


根据两次攻击中使用的战术,技术和程序 (TTP) 的复杂程度,FBI 认为,身份不明的国家黑客参与了这两次攻击;但是,尚不清楚是否是孤立事件。


FBI 称,成功地针对 CVE-2019-11510 漏洞的攻击案例不仅限于上述两家机构。尚未正式确认的被攻击机构还包括国际货币兑换平台 Travelex,该公司在未修补其 Pulse Secure VNP 服务器后于12月3日遭到 Sodinokibi 勒索软件的攻击,攻击者要求提供 300 万美元的赎金。


Travelex 在 2019 年 9 月就接到了服务器脆弱性警告,但是直到被勒索软件也没有做出回应或者修补漏洞。


PulseSecure 首席市场官 Scott Gordon (CISSP) 告诉媒体,攻击者正在通过利用 VPN 接口的交互提示向用户尝试分发和激活勒索软件,利用 “未打补丁的VPN服务器传播恶意软件 REvil (Sodinokibi)。”



可能是伊朗黑客


尽管 FBI 并未将这些攻击直接与伊朗支持的黑客联系起来,但在一天后分享的详细介绍伊朗网络战术和技术的私密行业通知 (PIN) 中却提到:信息表明伊朗黑客已尝试利用常见漏洞 (CVE) 2019-11510。


FBI 评估了自 2019 年末以来发生的 VPN 服务器漏洞攻击,发现其波及广泛,已影响到美国和其他国家的许多部门。



漏洞缓解措施和安全建议


FBI 建议美国市政当局仔细阅读国家安全局 (NSA) 的 VPN 漏洞缓解建议,采取以下措施来防御针对与市政网络域的潜在攻击,包括 “管理紧急服务、交通或选举的本地基础结构”:



防御措施

文章来源:安全牛,转载请标明出处,如有侵权请联系删除。


 
奥航智讯官方微信
联系我们 | CONTACT US
  • 公司地址:上海市浦东新区 周康路26号 周浦万达E栋1016室
  • 联系电话:021-51099961
  • 企业邮箱:contact@smart-alliance.com
  • W  E  B  :  www.smart-alliance.com
在线留言 | FEEDBACK
Copyright 2012-2024 SC Alliance, All Rights Reserved        沪ICP备14020833号-1        上海奥航智能科技有限公司