脅威アクターは、政府のネットワークを侵害するための効率的な方法を発見しました. VPNとWindowsの脆弱性を組み合わせることにより, 彼らは州へのアクセスを得ました, ローカル, 部族, および領土政府ネットワーク.
この情報は、FBIとCISAによって発行されたセキュリティアラートから取得されます.
CISAによると, ある場合には, 攻撃者は選挙支援システムへの不正アクセスを取得しました. でも, 代理店は選挙データの完全性が損なわれたという確認された情報を持っていません.
“選挙情報に近いため、これらのターゲットは選択されているようには見えませんが, 政府のネットワークに格納されている選挙情報にリスクがある可能性があります,” セキュリティアラートは言う.
攻撃者が悪用している脆弱性?
2つの特定のセキュリティ上の欠陥が連鎖していました – CVE-2018-13379およびCVE-2020-1472. 最初の脆弱性はフォーティネットFortiOSセキュアソッカーレイヤーにあります (SSL) VPN. このアプリケーションは、リモートロケーションからエンタープライズネットワークにアクセスするための安全なゲートウェイとして機能するオンプレミスVPNサーバーです。. これは、FortiOS SSL VPN Webポータルのパストラバーサルの脆弱性であり、認証されていない攻撃者が特別に細工されたHTTPリソースリクエストを介してファイルをダウンロードできるようにする可能性があります。.
CVE-2020-1472 攻撃者がドメインコントローラーへの脆弱なNetlogonセキュリティで保護されたチャネル接続を確立するときに存在する特権の昇格の欠陥です. これは、Netlogonリモートプロトコルを使用することで発生する可能性があります (MS-NRPC). 悪用の成功の結果として, 攻撃者は、標的となるネットワーク上のデバイス上で特別に細工されたアプリケーションを実行する可能性があります. この脆弱性はZerologonとも呼ばれます.
共同セキュリティアラートによると, 攻撃者は2つの脆弱性を組み合わせて使用しています. 攻撃者に関する情報はありませんが、研究者はAPTグループが攻撃者の背後にいると言います.
その他の脆弱性はCVE-2020-1472と連鎖する可能性があります
APTグループが悪用できる脆弱性はこれらだけではありません. FBIとCISAの研究者は、攻撃者はフォーティネットのバグを、サーバーへの初期アクセスを可能にする他の同様の欠陥に置き換えることができると述べています, そのような:
- パルスセキュアのCVE-2019-11510 “接続” エンタープライズVPN
- パロアルトネットワークスのCVE-2019-1579 “グローバルプロテクト” VPNサーバー
- CitrixのCVE-2019-19781 “ADC” サーバーとCitrixネットワークゲートウェイ
- MobileIronモバイルデバイス管理サーバーのCVE-2020-15505
- F5BIG-IPネットワークバランサーのCVE-2020-5902
リストされている欠陥はすべて、Zerologonのバグと連鎖する可能性があります, 研究者は警告した.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: