Хакеры объединяют уязвимости VPN и Windows для атак на американские правительственные сети

Дата: 12.10.2020. Автор: Артем П. Категории: Новости по информационной безопасности
Хакеры объединяют уязвимости VPN и Windows для атак на американские правительственные сети

Американское Агентство по кибербезопасности CISA сообщило, что киберпреступникам удалось получить доступ к правительственным сетям, объединив уязвимости Windows и VPN.

Кибератаки были нацелены на федеральные и государственные, местные, территориальные (SLTT) американские правительственные сети. Агентство по кибербезопасности CISA заявило, что атаки на негосударственные структуры также были выявлены.

Атаки, которые проводятся сейчас неустановленными хакерами на правительственные сети США, сочетают в себе две уязвимости безопасности, известные как CVE-2018-13379 и CVE-2020-1472.

  • CVE-2018-13379 – уязвимость в VPN-сервере Fortinet FortiOS Secure Socket Layer (SSL), локальном VPN-сервере, предназначенном для использования в качестве безопасного шлюза для удаленного доступа к корпоративным сетям.
  • CVE-2020-1472 – уязвимость Zerologon, представляет собой ошибку в Netlogon, протоколе, применяемом рабочими станциями Windows для проверки подлинности на сервере Windows, работающем в качестве контроллера домена.

Эксплуатация двух этих уязвимостей в связке позволяет киберпреступникам захватывать контроллеры домена, учетные записи пользователей серверов для управления целыми внутренними/корпоративными сетями, красть пароли для всех подключенных рабочих станций.

Агентство по кибербезопасности CISA и ФБР заявляют, что хакеры объединяют эти две уязвимости, чтобы захватить серверы Fortinet, а затем развернуть вредоносное ПО и захватить внутренние/корпоративные сети с помощью Zerologon.

CISA и ФБР также предупредили, что хакеры «могут заменить уязвимость Fortinet на любую другую уязвимость в продуктах VPN и шлюзов, которые были обнаружены за последние несколько месяцев и которые предоставляют аналогичный доступ».

К подобным уязвимостям можно отнести:

  • Импульсные защищенные корпоративные виртуальные частные сети Connect (CVE-2019-11510).
  • VPN-серверы Palo Alto Networks Global Protect (CVE-2019-1579).
  • Серверы Citrix ADC и сетевые шлюзы Citrix (CVE-2019-19781).
  • Серверы управления мобильными устройствами MobileIron (CVE-2020-15505).
  • Сетевые балансировщики F5 BIG-IP (CVE-2020-5902).

Все указанные выше уязвимости обеспечивают «начальный доступ» к серверам, зачастую установленным на границе корпоративных и государственных сетей. Эти уязвимости хакеры могут с легкостью связать с ошибкой Zerologon Windows для кибератак, аналогичных атакам Fortinet + Zerologon, обнаруженным агентством по кибербезопасности CISA.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *