Trusselsaktører har fundet en effektiv metode til at bryde regeringsnetværk. Ved at kombinere VPN- og Windows-sårbarheder, de har fået adgang til staten, lokal, stamme, og territoriale regeringsnetværk.
Oplysningerne kommer fra en sikkerhedsadvarsel offentliggjort af FBI og CISA.
Ifølge CISA, i nogle tilfælde, angribere har fået uautoriseret adgang til valgsystemer. Men, agenturet har ingen bekræftede oplysninger om, at integriteten af valgdata er blevet kompromitteret.
“Selvom det ikke ser ud til, vælges disse mål på grund af deres nærhed til valgoplysninger, der kan være en vis risiko for valgoplysninger, der findes på regeringsnetværk,” siger sikkerhedsadvarslen.
Hvilke sårbarheder har angribere udnyttet?
To specifikke sikkerhedsfejl blev lænket – CVE-2018-13379 og CVE-2020-1472. Den første sårbarhed er placeret i Fortinet FortiOS Secure Socker Layer (SSL) VPN. Applikationen er en lokal VPN-server, der fungerer som en sikker gateway for adgang til virksomhedsnetværk fra fjerntliggende placeringer. Det er en sti-traversal sårbarhed i FortiOS SSL VPN-webportalen, der kan gøre det muligt for uautoriserede angribere at downloade filer via specielt udformede HTTP-ressourceanmodninger.
CVE-2020-1472 er en forhøjelse af privilegiefejl, der eksisterer, når en angriber opretter en sårbar Netlogon-sikker kanalforbindelse til en domænecontroller. Dette kan ske ved at bruge Netlogon Remote Protocol (MS-NRPC). Som et resultat af en vellykket udnyttelse, angriberen kunne køre en specielt designet applikation på en enhed på det målrettede netværk. Sårbarheden er også kendt som Zerologon.
Ifølge den fælles sikkerhedsadvarsel, angribere bruger de to sårbarheder i kombination. Der er ingen oplysninger om angriberne, men forskerne siger, at APT-grupper står bag dem.
Andre sårbarheder kunne lænkes sammen med CVE-2020-1472
Dette er ikke de eneste sårbarheder, som APT-grupper kan udnytte. FBI og CISA forskere siger, at angribere kan erstatte Fortinet bug med andre lignende fejl, der muliggør indledende adgang til servere, såsom:
- CVE-2019-11510 i Pulse Secure “Forbinde” virksomheds VPN'er
- CVE-2019-1579 i Palo Alto Networks “Global Protect” VPN-servere
- CVE-2019-19781 i Citrix “ADC” servere og Citrix-netværksgateways
- CVE-2020-15505 i MobileIron-servere til styring af mobilenheder
- CVE-2020-5902 i F5 BIG-IP netværksbalancere
Enhver af de anførte fejl kan lænkes med Zerologon-bugten, forskerne advaret.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: