Представители ФБР и Агентства по кибербезопасности и защите инфраструктуры, организованного при Министерстве внутренней безопасности США (DHS CISA) опубликовали предупреждение, согласно которому хакеры получают доступ к правительственным сетям, комбинируя уязвимость Zerologon (CVE-2020-1472) с различными багами в VPN-продуктах. Сообщается, что уже были обнаружены атаки на правительственные и неправительственные сети.
«CISA известно о ряде случаев, когда подобная деятельность приводила к несанкционированному доступу к системам поддержки выборов. Однако на сегодняшний день у CISA нет доказательств того, что целостность этих данных была нарушена», — гласит предупреждение.
По данным правоохранителей, в ходе таких атак злоумышленники эксплуатируют как минимум две уязвимости: CVE-2018-13379 и CVE-2020-1472.
Первая проблема (CVE-2018-13379) была обнаружена в составе Fortinet FortiOS Secure Socket Layer (SSL) VPN, локальном VPN, который обычно используется в качестве безопасного шлюза для доступа к корпоративным сетям из удаленных мест. Вторая проблема (CVE-2018-13379) позволяет злоумышленникам загружать вредоносные файлы на незащищенные системы и захватывать VPN-серверы Fortinet.
Что касается уязвимости Zerologon, напомню, что она опирается на слабый криптографический алгоритм, используемый в процессе аутентификации Netlogon. Проблему назвали Zerologon, так как атака осуществляется через добавление нулей в определенные аутентификационные параметры Netlogon. В результате баг позволяет злоумышленнику манипулировать аутентификацией, а именно:
- выдать себя за любой компьютер в сети в ходе аутентификации на контроллере домена;
- отключить защитные механизмы в процессе аутентификации Netlogon;
- изменить пароль компьютера в Active Directory контроллера домена.
CISA и ФБР объясняют, что хакеры комбинируют эти уязвимости, начиная с захвата серверов Fortinet, а затем переходя к захвату внутренней сети с помощью Zerologon.
Также эксперты предупредили, что помимо багов в продуктах Fortinet хакеры могут использовать любые другие уязвимости в VPN-решениях и шлюзах, ведь таких багов в последнее время было обнаружено немало. Достаточно вспомнить следующие проблемы:
- корпоративные VPN Pulse Secure Connect (CVE-2019-11510);
- VPN Global Protect от Palo Alto Networks (CVE-2019-1579);
- серверы Citrix ADC, а также сетевые шлюзы Citrix (CVE-2019-19781);
- серверы для управления мобильными устройствами MobileIron (CVE-2020-15505);
- балансировщики нагрузки F5 BIG-IP (CVE-2020-5902).