黑客组织结合利用 VPN 和 Windows 漏洞攻击美国政府网络

黑客攻击的目标是美国联邦、州、地方、部落和海外领地 (SLTT) 政府网络。不过 FBI 和 CISA 表示非政府机构也遭到了攻击。

安全警报指出，“CISA 发现在某些情况下，选举支持系统遭越权访问；然而，到目前为止，CISA 并未发现选举数据的完整性遭攻陷。尽管目前并未有证据表明攻击者基于与选举信息的相关性选择攻击目标，但托管在政府网络上的选举信息可能面临着某种风险。“

联合警报指出，黑客结合利用两个漏洞 CVE-2018-13379 和 CVE-2020-1472 发动攻击。

CVE-2018-13379 位于 Fortinet FortiOS 安全套接字层 (SSL) VPN 中。该VPN 是一款本地 VPN 服务器，旨在作为远程访问企业网络的安全网关。该漏洞于去年披露，可导致攻击者在未修复系统上上传恶意文件并接管 Fortinet VPN 服务器。

CVE-2020-1472 也被称为“Zerologon”，位于 Netlogon 协议中。Windows 工作站使用该协议对运行为域控制器的 Windows Server 进行认证。该漏洞可导致攻击者接管域控制器。域控制器是服务器用户，用于管理整个内部/企业网络，且通常包含所有联网工作站的密码。

CISA 和 FBI 表示，攻击者结合利用这两个漏洞劫持 Fortinet 服务器，之后利用 Zerologon 漏洞跳转并接管内部网络。它们表示，“攻击者之后利用合法的远程访问工具如 VPN 和 RDP，通过受陷凭证访问环境。安全警报指出黑客是 APT 组织，但除此以外并未提供其它详情。

上周，微软表示发现伊朗 APT 组织 Mercury (MuddyWatter) 利用 Zerologon 漏洞发动攻击。该组织之前曾被指攻击美国政府机构。

CISA 和 FBI 均建议美国公私行业实体修复这两个漏洞，且补丁已出现数月之久。

另外，CISA 和 FBI 还警告称，黑客还可结合利用 CVE-2018-13379 和几个月前发布的且可提供类似访问权限的任何其它 VPN 和网关产品中的漏洞。这些漏洞包括：

• Pulse Secure “Connect”企业 VPN(CVE-2019-11510)

• Palo Alto Networks“GlobalProtect” VPN 服务器 (CVE-2019-1579)

• Citrix “ADC”服务器和 Citrix网络网关 (CVE-2019-19781)

• MobileIron 移动设备管理服务器 (CVE-2020-15505)

• F5 BIG-IP 网络均衡器（CVE-2020-5902）

以上所列的这些漏洞提供通常用于企业和政府网络边缘服务器的“初始访问权限”。攻击者还可轻易结合它们和 Zerologon Windows 漏洞，发动类似于本文所述的 Fortinet+Zerologon 入侵活动。

https://www.zdnet.com/article/hacker-groups-chain-vpn-and-windows-bugs-to-attack-us-government-networks/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

    觉得不错，就点个 “在看” 吧~