Gli attori della minaccia hanno trovato un metodo efficiente per violare le reti governative. Combinando le vulnerabilità VPN e Windows, hanno ottenuto l'accesso allo stato, Locale, tribale, e reti di governo territoriale.
Le informazioni provengono da un avviso di sicurezza pubblicato da FBI e CISA.
Secondo CISA, in alcuni casi, gli aggressori hanno ottenuto l'accesso non autorizzato ai sistemi di supporto alle elezioni. Tuttavia, l'agenzia non ha informazioni confermate che l'integrità dei dati elettorali sia stata compromessa.
“Anche se non sembra che questi obiettivi vengano selezionati a causa della loro vicinanza alle informazioni sulle elezioni, potrebbe esserci qualche rischio per le informazioni sulle elezioni ospitate nelle reti governative,” dice l'avviso di sicurezza.
Quali vulnerabilità hanno sfruttato gli aggressori?
Due falle di sicurezza specifiche sono state incatenate – CVE-2018-13379 e CVE-2020-1472. La prima vulnerabilità si trova in Fortinet FortiOS Secure Socker Layer (SSL) VPN. L'applicazione è un server VPN in sede che funge da gateway sicuro per l'accesso alle reti aziendali da postazioni remote. Si tratta di una vulnerabilità di attraversamento del percorso nel portale Web FortiOS SSL VPN che potrebbe consentire ad attaccanti non autenticati di scaricare file tramite richieste di risorse HTTP appositamente predisposte.
CVE-2020-1472 è un difetto di elevazione dei privilegi che si verifica quando un utente malintenzionato stabilisce una connessione vulnerabile del canale protetto Netlogon a un controller di dominio. Ciò potrebbe accadere utilizzando il protocollo remoto Netlogon (MS-NRPC). Come risultato di un exploit riuscito, l'autore dell'attacco potrebbe eseguire un'applicazione appositamente predisposta su un dispositivo nella rete di destinazione. La vulnerabilità è anche nota come Zerologon.
Secondo l'allerta di sicurezza congiunta, gli aggressori utilizzano le due vulnerabilità in combinazione. Non ci sono informazioni sugli aggressori, ma i ricercatori dicono che dietro di loro ci sono i gruppi APT.
Altre vulnerabilità potrebbero essere concatenate con CVE-2020-1472
Queste non sono le uniche vulnerabilità che i gruppi APT possono sfruttare. I ricercatori dell'FBI e del CISA affermano che gli aggressori possono sostituire il bug di Fortinet con altri difetti simili che consentono l'accesso iniziale ai server, come:
- CVE-2019-11510 in Pulse Secure “Collegare” VPN aziendali
- CVE-2019-1579 a Palo Alto Networks “Protezione globale” Server VPN
- CVE-2019-19781 in Citrix “ADC” server e gateway di rete Citrix
- CVE-2020-15505 nei server di gestione dei dispositivi mobili MobileIron
- CVE-2020-5902 in bilanciatori di rete BIG-IP F5
Tutti i difetti elencati possono essere concatenati con il bug Zerologon, i ricercatori hanno messo in guardia.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: