Представители ФБР и Агентства по кибербезопасности и защите инфраструктуры, организованного при Министерстве внутренней безопасности США (DHS CISA) опубликовали предупреждение, согласно которому хакеры получают доступ к правительственным сетям, комбинируя уязвимость Zerologon (CVE-2020-1472) с различными багами в VPN-продуктах. Сообщается, что уже были обнаружены атаки на правительственные и неправительственные сети.

«CISA известно о ряде случаев, когда подобная деятельность приводила к несанкционированному доступу к системам поддержки выборов. Однако на сегодняшний день у CISA нет доказательств того, что целостность этих данных была нарушена», — гласит предупреждение.

По данным правоохранителей, в ходе таких атак злоумышленники эксплуатируют как минимум две уязвимости: CVE-2018-13379  и CVE-2020-1472.

Первая проблема (CVE-2018-13379) была обнаружена в составе Fortinet FortiOS Secure Socket Layer (SSL) VPN, локальном VPN, который обычно используется в качестве безопасного шлюза для доступа к корпоративным сетям из удаленных мест. Вторая проблема (CVE-2018-13379) позволяет злоумышленникам загружать вредоносные файлы на незащищенные системы и захватывать VPN-серверы Fortinet.

Что касается уязвимости Zerologon, напомню, что она опирается на слабый криптографический алгоритм, используемый в процессе аутентификации Netlogon. Проблему назвали Zerologon, так как атака осуществляется через добавление нулей в определенные аутентификационные параметры Netlogon. В результате баг позволяет злоумышленнику манипулировать аутентификацией, а именно:

  • выдать себя за любой компьютер в сети в ходе аутентификации на контроллере домена;
  • отключить защитные механизмы в процессе аутентификации Netlogon;
  • изменить пароль компьютера в Active Directory контроллера домена.

CISA и ФБР объясняют, что хакеры комбинируют эти уязвимости, начиная с захвата серверов Fortinet, а затем переходя к захвату внутренней сети с помощью Zerologon.

Также эксперты предупредили, что помимо багов в продуктах Fortinet хакеры могут использовать любые другие уязвимости в VPN-решениях и шлюзах, ведь таких багов в последнее время было обнаружено немало. Достаточно вспомнить следующие проблемы:

  • корпоративные VPN Pulse Secure Connect (CVE-2019-11510);
  • VPN Global Protect от Palo Alto Networks (CVE-2019-1579);
  • серверы Citrix ADC, а также сетевые шлюзы Citrix (CVE-2019-19781);
  • серверы для управления мобильными устройствами MobileIron (CVE-2020-15505);
  • балансировщики нагрузки F5 BIG-IP (CVE-2020-5902).

Оставить мнение