Bedreigingsactoren hebben een efficiënte methode gevonden om overheidsnetwerken te doorbreken. Door VPN- en Windows-kwetsbaarheden te combineren, ze hebben toegang gekregen tot de staat, lokaal, tribaal, en territoriale overheidsnetwerken.
De informatie is afkomstig van een beveiligingswaarschuwing die is gepubliceerd door de FBI en CISA.
Volgens CISA, in sommige gevallen, aanvallers hebben ongeautoriseerde toegang gekregen tot systemen voor verkiezingsondersteuning. Echter, het bureau heeft geen bevestigde informatie dat de integriteit van verkiezingsgegevens in gevaar is gebracht.
“Hoewel het er niet op lijkt dat deze doelen worden geselecteerd vanwege hun nabijheid tot verkiezingsinformatie, er kan enig risico zijn voor verkiezingsinformatie die is opgeslagen op overheidsnetwerken,” zegt de beveiligingswaarschuwing.
Welke kwetsbaarheden hebben aanvallers misbruikt?
Twee specifieke beveiligingsfouten werden geketend – CVE-2018-13379 en CVE-2020-1472. De eerste kwetsbaarheid bevindt zich in de Fortinet FortiOS Secure Socker Layer (SSL) VPN. De applicatie is een on-premise VPN-server die dient als een veilige gateway voor toegang tot bedrijfsnetwerken vanaf externe locaties. Het is een kwetsbaarheid voor het doorlopen van paden in de FortiOS SSL VPN-webportal waardoor niet-geverifieerde aanvallers bestanden kunnen downloaden via speciaal vervaardigde HTTP-bronverzoeken.
CVE-2020-1472 is een misbruik van bevoegdheden wanneer een aanvaller een kwetsbare Netlogon beveiligde kanaalverbinding tot stand brengt met een domeincontroller. Dit kan gebeuren door het Netlogon Remote Protocol te gebruiken (MS-NRPC). Als resultaat van een succesvolle exploit, de aanvaller kan een speciaal ontworpen applicatie uitvoeren op een apparaat op het beoogde netwerk. De kwetsbaarheid wordt ook wel Zerologon genoemd.
Volgens het gezamenlijke veiligheidsalarm, aanvallers gebruiken de twee kwetsbaarheden in combinatie. Er is geen informatie over de aanvallers, maar de onderzoekers zeggen dat APT-groepen achter hen staan.
Andere beveiligingslekken kunnen worden geketend met CVE-2020-1472
Dit zijn niet de enige kwetsbaarheden die APT-groepen kunnen misbruiken. FBI- en CISA-onderzoekers zeggen dat aanvallers de Fortinet-bug kunnen vervangen door andere soortgelijke fouten die initiële toegang tot servers mogelijk maken, zoals:
- CVE-2019-11510 in Pulse Secure “Aansluiten” VPN's voor ondernemingen
- CVE-2019-1579 in Palo Alto Networks “Wereldwijde bescherming” VPN-servers
- CVE-2019-19781 in Citrix “ADC” servers en Citrix-netwerkgateways
- CVE-2020-15505 in MobileIron-beheerservers voor mobiele apparaten
- CVE-2020-5902 in F5 BIG-IP-netwerkbalancers
Elk van de vermelde fouten kan worden geketend met de Zerologon-bug, de onderzoekers waarschuwden.