Os atores da ameaça encontraram um método eficiente para violar as redes governamentais. Combinando vulnerabilidades VPN e Windows, eles ganharam acesso ao estado, local, tribal, e redes territoriais de governo.
A informação vem de um alerta de segurança publicado pelo FBI e CISA.
De acordo com CISA, em alguns casos, invasores obtiveram acesso não autorizado a sistemas de apoio às eleições. Contudo, a agência não tem informações confirmadas de que a integridade dos dados eleitorais foi comprometida.
“Embora não pareça que esses alvos estejam sendo selecionados devido à sua proximidade com as informações eleitorais, pode haver algum risco para as informações eleitorais alojadas em redes governamentais,” o alerta de segurança diz.
Quais vulnerabilidades os invasores estão explorando?
Duas falhas de segurança específicas foram acorrentadas – CVE-2018-13379 e CVE-2020-1472. A primeira vulnerabilidade está localizada no Fortinet FortiOS Secure Socker Layer (SSL) VPN. O aplicativo é um servidor VPN local que serve como um gateway seguro para acesso a redes corporativas de locais remotos. É uma vulnerabilidade de passagem de caminho no portal da web FortiOS SSL VPN que pode permitir que invasores não autenticados baixem arquivos por meio de solicitações de recursos HTTP especialmente criadas.
CVE-2020-1472 é uma falha de elevação de privilégio que existe quando um invasor estabelece uma conexão de canal seguro Netlogon vulnerável com um controlador de domínio. Isso pode acontecer usando o protocolo remoto Netlogon (MS-NRPC). Como resultado de uma exploração bem-sucedida, o invasor pode executar um aplicativo especialmente criado em um dispositivo na rede de destino. A vulnerabilidade também é conhecida como Zerologon.
De acordo com o alerta de segurança conjunta, os invasores estão usando as duas vulnerabilidades em combinação. Não há informações sobre os invasores, mas os pesquisadores dizem que os grupos APT estão por trás deles.
Outras vulnerabilidades podem ser encadeadas com CVE-2020-1472
Estas não são as únicas vulnerabilidades que os grupos APT podem explorar. Pesquisadores do FBI e da CISA dizem que os invasores podem substituir o bug do Fortinet por outras falhas semelhantes que permitem o acesso inicial aos servidores, tal como:
- CVE-2019-11510 no Pulse Secure “Conectar” VPNs empresariais
- CVE-2019-1579 na Palo Alto Networks “Global Protect” Servidores VPN
- CVE-2019-19781 em Citrix “ADC” servidores e gateways de rede Citrix
- CVE-2020-15505 em servidores de gerenciamento de dispositivos móveis MobileIron
- CVE-2020-5902 em balanceadores de rede F5 BIG-IP
Qualquer uma das falhas listadas pode ser ligada ao bug Zerologon, os pesquisadores alertaram.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: