Bedrohungsakteure haben eine effiziente Methode gefunden, um Regierungsnetzwerke zu durchbrechen. Durch die Kombination von VPN- und Windows-Schwachstellen, Sie haben Zugang zum Staat erhalten, lokal, Stammes, und territoriale Regierungsnetzwerke.
Die Informationen stammen aus einer vom FBI und CISA veröffentlichten Sicherheitswarnung.
Laut CISA, in manchen Fällen, Angreifer haben unbefugten Zugang zu Wahlunterstützungssystemen erhalten. Jedoch, Die Agentur hat keine bestätigten Informationen darüber, dass die Integrität der Wahldaten beeinträchtigt wurde.
“Obwohl es nicht so aussieht, als würden diese Ziele aufgrund ihrer Nähe zu Wahlinformationen ausgewählt, Es besteht ein gewisses Risiko für Wahlinformationen, die in Regierungsnetzwerken gespeichert sind,” Der Sicherheitsalarm sagt.
Welche Sicherheitslücken haben Angreifer ausgenutzt??
Zwei spezifische Sicherheitslücken wurden angekettet – CVE-2018-13379 und CVE-2020-1472. Die erste Sicherheitsanfälligkeit befindet sich in der Fortinet FortiOS Secure Socker-Schicht (SSL) VPN. Die Anwendung ist ein lokaler VPN-Server, der als sicheres Gateway für den Zugriff auf Unternehmensnetzwerke von Remotestandorten aus dient. Es handelt sich um eine Sicherheitsanfälligkeit im FortiOS SSL VPN-Webportal, die es nicht authentifizierten Angreifern ermöglichen kann, Dateien über speziell gestaltete HTTP-Ressourcenanforderungen herunterzuladen.
CVE-2020-1472 ist ein Fehler bei der Erhöhung von Berechtigungen, der auftritt, wenn ein Angreifer eine anfällige sichere Netlogon-Kanalverbindung zu einem Domänencontroller herstellt. Dies kann mithilfe des Netlogon Remote-Protokolls geschehen (MS-NRPC). Als Ergebnis eines erfolgreichen Exploits, Der Angreifer kann eine speziell gestaltete Anwendung auf einem Gerät im Zielnetzwerk ausführen. Die Sicherheitsanfälligkeit wird auch als Zerologon bezeichnet.
Laut dem gemeinsamen Sicherheitsalarm, Angreifer nutzen die beiden Sicherheitslücken in Kombination. Es gibt keine Informationen über die Angreifer, aber die Forscher sagen, dass APT-Gruppen hinter ihnen stehen.
Andere Sicherheitslücken könnten mit CVE-2020-1472 verkettet werden
Dies sind nicht die einzigen Sicherheitslücken, die APT-Gruppen ausnutzen können. FBI- und CISA-Forscher sagen, dass Angreifer den Fortinet-Fehler durch andere ähnliche Fehler ersetzen können, die den ersten Zugriff auf Server ermöglichen, sowie:
- CVE-2019-11510 in Pulse Secure “Verbinden” Unternehmens-VPNs
- CVE-2019-1579 in Palo Alto Networks “Globaler Schutz” VPN-Server
- CVE-2019-19781 in Citrix “ADC” Server und Citrix Netzwerk-Gateways
- CVE-2020-15505 in MobileIron-Verwaltungsservern für mobile Geräte
- CVE-2020-5902 in F5 BIG-IP-Netzwerk-Balancern
Jeder der aufgelisteten Fehler kann mit dem Zerologon-Fehler verkettet werden, die Forscher gewarnt.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: