Американское Агентство по кибербезопасности CISA сообщило, что киберпреступникам удалось получить доступ к правительственным сетям, объединив уязвимости Windows и VPN.
Кибератаки были нацелены на федеральные и государственные, местные, территориальные (SLTT) американские правительственные сети. Агентство по кибербезопасности CISA заявило, что атаки на негосударственные структуры также были выявлены.
Атаки, которые проводятся сейчас неустановленными хакерами на правительственные сети США, сочетают в себе две уязвимости безопасности, известные как CVE-2018-13379 и CVE-2020-1472.
- CVE-2018-13379 – уязвимость в VPN-сервере Fortinet FortiOS Secure Socket Layer (SSL), локальном VPN-сервере, предназначенном для использования в качестве безопасного шлюза для удаленного доступа к корпоративным сетям.
- CVE-2020-1472 – уязвимость Zerologon, представляет собой ошибку в Netlogon, протоколе, применяемом рабочими станциями Windows для проверки подлинности на сервере Windows, работающем в качестве контроллера домена.
Эксплуатация двух этих уязвимостей в связке позволяет киберпреступникам захватывать контроллеры домена, учетные записи пользователей серверов для управления целыми внутренними/корпоративными сетями, красть пароли для всех подключенных рабочих станций.
Агентство по кибербезопасности CISA и ФБР заявляют, что хакеры объединяют эти две уязвимости, чтобы захватить серверы Fortinet, а затем развернуть вредоносное ПО и захватить внутренние/корпоративные сети с помощью Zerologon.
CISA и ФБР также предупредили, что хакеры «могут заменить уязвимость Fortinet на любую другую уязвимость в продуктах VPN и шлюзов, которые были обнаружены за последние несколько месяцев и которые предоставляют аналогичный доступ».
К подобным уязвимостям можно отнести:
- Импульсные защищенные корпоративные виртуальные частные сети Connect (CVE-2019-11510).
- VPN-серверы Palo Alto Networks Global Protect (CVE-2019-1579).
- Серверы Citrix ADC и сетевые шлюзы Citrix (CVE-2019-19781).
- Серверы управления мобильными устройствами MobileIron (CVE-2020-15505).
- Сетевые балансировщики F5 BIG-IP (CVE-2020-5902).
Все указанные выше уязвимости обеспечивают «начальный доступ» к серверам, зачастую установленным на границе корпоративных и государственных сетей. Эти уязвимости хакеры могут с легкостью связать с ошибкой Zerologon Windows для кибератак, аналогичных атакам Fortinet + Zerologon, обнаруженным агентством по кибербезопасности CISA.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
