• Партнер

  • Представители ФБР и Агентства по кибербезопасности и защите инфраструктуры, организованного при Министерстве внутренней безопасности США (DHS CISA) опубликовали предупреждение, согласно которому хакеры получают доступ к правительственным сетям, комбинируя уязвимость Zerologon (CVE-2020-1472) с различными багами в VPN-продуктах. Сообщается, что уже были обнаружены атаки на правительственные и неправительственные сети.

    «CISA известно о ряде случаев, когда подобная деятельность приводила к несанкционированному доступу к системам поддержки выборов. Однако на сегодняшний день у CISA нет доказательств того, что целостность этих данных была нарушена», — гласит предупреждение.

    По данным правоохранителей, в ходе таких атак злоумышленники эксплуатируют как минимум две уязвимости: CVE-2018-13379  и CVE-2020-1472.

    Первая проблема (CVE-2018-13379) была обнаружена в составе Fortinet FortiOS Secure Socket Layer (SSL) VPN, локальном VPN, который обычно используется в качестве безопасного шлюза для доступа к корпоративным сетям из удаленных мест. Вторая проблема (CVE-2018-13379) позволяет злоумышленникам загружать вредоносные файлы на незащищенные системы и захватывать VPN-серверы Fortinet.

    Что касается уязвимости Zerologon, напомню, что она опирается на слабый криптографический алгоритм, используемый в процессе аутентификации Netlogon. Проблему назвали Zerologon, так как атака осуществляется через добавление нулей в определенные аутентификационные параметры Netlogon. В результате баг позволяет злоумышленнику манипулировать аутентификацией, а именно:

    • выдать себя за любой компьютер в сети в ходе аутентификации на контроллере домена;
    • отключить защитные механизмы в процессе аутентификации Netlogon;
    • изменить пароль компьютера в Active Directory контроллера домена.

    CISA и ФБР объясняют, что хакеры комбинируют эти уязвимости, начиная с захвата серверов Fortinet, а затем переходя к захвату внутренней сети с помощью Zerologon.

    Также эксперты предупредили, что помимо багов в продуктах Fortinet хакеры могут использовать любые другие уязвимости в VPN-решениях и шлюзах, ведь таких багов в последнее время было обнаружено немало. Достаточно вспомнить следующие проблемы:

    • корпоративные VPN Pulse Secure Connect (CVE-2019-11510);
    • VPN Global Protect от Palo Alto Networks (CVE-2019-1579);
    • серверы Citrix ADC, а также сетевые шлюзы Citrix (CVE-2019-19781);
    • серверы для управления мобильными устройствами MobileIron (CVE-2020-15505);
    • балансировщики нагрузки F5 BIG-IP (CVE-2020-5902).

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии