Les acteurs de la menace ont trouvé une méthode efficace pour violer les réseaux gouvernementaux. En combinant les vulnérabilités VPN et Windows, ils ont eu accès à l'état, local, tribal, et réseaux gouvernementaux territoriaux.
Les informations proviennent d'une alerte de sécurité publiée par le FBI et CISA.
Selon CISA, dans certains cas, les attaquants ont obtenu un accès non autorisé aux systèmes d'aide aux élections. Cependant, l'agence n'a aucune information confirmée selon laquelle l'intégrité des données électorales a été compromise.
“Bien qu'il ne semble pas que ces cibles soient sélectionnées en raison de leur proximité avec les informations électorales, il peut y avoir un risque pour les informations électorales hébergées sur les réseaux gouvernementaux,” l'alerte de sécurité dit.
Quelles vulnérabilités les attaquants exploitent?
Deux failles de sécurité spécifiques ont été enchaînées – CVE-2018-13379 et CVE-2020-1472. La première vulnérabilité se situe dans le Fortinet FortiOS Secure Socker Layer (SSL) VPN. L'application est un serveur VPN sur site qui sert de passerelle sécurisée pour l'accès aux réseaux d'entreprise à partir d'emplacements distants. Il s'agit d'une vulnérabilité de traversée de chemin dans le portail Web VPN SSL FortiOS qui pourrait permettre à des attaquants non authentifiés de télécharger des fichiers via des demandes de ressources HTTP spécialement conçues..
CVE-2020-1472 est une faille d'élévation de privilège qui existe lorsqu'un attaquant établit une connexion de canal sécurisé Netlogon vulnérable à un contrôleur de domaine. Cela peut se produire en utilisant le protocole Netlogon Remote (MS-NRPC). À la suite d'un exploit réussi, l'attaquant pourrait exécuter une application spécialement conçue sur un appareil du réseau ciblé. La vulnérabilité est également connue sous le nom de Zerologon.
Selon l'alerte de sécurité conjointe, les attaquants utilisent les deux vulnérabilités en combinaison. Il n'y a pas d'informations sur les attaquants mais les chercheurs disent que les groupes APT sont derrière eux.
D'autres vulnérabilités pourraient être enchaînées avec CVE-2020-1472
Ce ne sont pas les seules vulnérabilités que les groupes APT peuvent exploiter. Les chercheurs du FBI et CISA affirment que les attaquants peuvent remplacer le bogue Fortinet par d'autres failles similaires qui permettent un accès initial aux serveurs, comme:
- CVE-2019-11510 dans Pulse Secure “Relier” VPN d'entreprise
- CVE-2019-1579 dans Palo Alto Networks “Global Protect” Serveurs VPN
- CVE-2019-19781 dans Citrix “ADC” serveurs et passerelles réseau Citrix
- CVE-2020-15505 dans les serveurs de gestion d'appareils mobiles MobileIron
- CVE-2020-5902 dans les équilibreurs de réseau F5 BIG-IP
Toutes les failles répertoriées peuvent être enchaînées avec le bogue Zerologon, les chercheurs ont mis en garde contre.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: