国家黑客利用虚拟私有网络服务器漏洞入侵美国政府网络
Posted 白宇929
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了国家黑客利用虚拟私有网络服务器漏洞入侵美国政府网络相关的知识,希望对你有一定的参考价值。
FBI 在一次安全警报中表示,有国家(伊朗)黑客利用 Pulse Secure 虚拟私有网络服务器的严重漏洞,破坏了美国市政府和美国金融公司的网络。
该漏洞使未经身份验证的远程攻击者可以发送特制的 URI,以连接到易受攻击的服务器并读取包含用户凭据的敏感文件,并在后继的攻击阶段用于控制组织的系统等。
在未打补丁的系统上,该漏洞允许无有效用户名和密码的人远程连接到公司网络,关闭多因素身份验证控制,远程查看纯文本日志(包括 Active Directory 帐户和缓存的密码)。
美国多家机构实体遭到入侵
在同一个月内,攻击者利用相同漏洞的攻击破坏了美国市政政府网络。
根据 FBI 的报道,针对和破坏美国市政府网络的攻击发生在 2019 年 8 月中。这次攻击中,攻击者能够枚举和泄露用户的帐户、主机配置信息和会话标识符,从而使他们能够进一步访问内部网络。目前,联邦调查局正在继续收集对该事件的失陷指标。
根据两次攻击中使用的战术,技术和程序 (TTP) 的复杂程度,FBI 认为,身份不明的国家黑客参与了这两次攻击;但是,尚不清楚是否是孤立事件。
Travelex 在 2019 年 9 月就接到了服务器脆弱性警告,但是直到被勒索软件也没有做出回应或者修补漏洞。
PulseSecure 首席市场官 Scott Gordon (CISSP) 告诉媒体,攻击者正在通过利用 VPN 接口的交互提示向用户尝试分发和激活勒索软件,利用 “未打补丁的VPN服务器传播恶意软件 REvil (Sodinokibi)。”
可能是伊朗黑客
FBI 评估了自 2019 年末以来发生的虚拟私有网络服务器漏洞攻击,发现其波及广泛,已影响到美国和其他国家的许多部门。
漏洞缓解措施和安全建议
FBI 建议美国市政当局仔细阅读国家安全局 (NSA) 的虚拟私有网络漏洞缓解建议,采取以下措施来防御针对与市政网络域的潜在攻击,包括 “管理紧急服务、交通或选举的本地基础结构”:
防御措施
警惕并立即安装供应商发布的补丁程序,尤其是面向 Web 的设备;
阻止或监视上述恶意IP地址以及其他在特殊时间段进行远程登录的 IP 地址;
在将升级后的设备重新连接到外部网络之前,请重置凭据。
撤消并创建新的虚拟私有网络服务器密钥和证书;
使用多因素身份验证作为密码的补充安全性措施;
查看帐户列表,以确保对手没有创建新帐户;
在适当的地方实施网络分段;
确保无法从 Internet 访问管理 Web 界面。
来源:安全牛
以上是关于国家黑客利用虚拟私有网络服务器漏洞入侵美国政府网络的主要内容,如果未能解决你的问题,请参考以下文章
全球疫情蔓延的当下,虚拟私有网络漏洞或成国家级黑客攻击的重头戏