WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Tin tặc tấn công mạng chính phủ Mỹ qua lỗ hổng VPN và Windows
Một số tin tặc đã thành công và chiếm được "quyền truy cập trái phép vào các hệ thống phục vụ bầu cử".
Theo Cục Điều tra Liên bang Mỹ (FBI) và Cơ quan An ninh cơ sở hạ tầng và An ninh mạng nước này (CISA), tin tặc đã có được quyền truy cập vào các mạng chính phủ bằng cách đồng thời khai thác hai lỗ hổng trên VPN và trên hệ điều hành Windows.
Các cuộc tấn công không chỉ nhắm mục tiêu vào mạng lưới chính phủ liên bang, tiểu bang, địa phương và vùng lãnh thổ mà các mạng lưới phi chính phủ cũng bị tin tặc nhắm đến.
"CISA đã phát hiện một số trường hợp truy cập trái phép vào các hệ thống phục vụ bầu cử; tuy nhiên, hiện tại chưa có bằng chứng cho thấy tính toàn vẹn của dữ liệu bầu cử đã bị xâm phạm", cảnh báo của CISA cho biết.
TẤN CÔNG THÔNG QUA LỖ HỔNG VPN FORTINET VÀ ZEROLOGON TRÊN WINDOWS
Các cuộc tấn công đồng thời khai thác hai lỗi bảo mật là CVE-2018-13379 và CVE-2020-1472.
CVE-2018-13379 là một lỗ hổng trong máy chủ VPN Fortinet FortiOS Secure Socket Layer (SSL) vốn đóng vai trò là một cổng an toàn để truy cập mạng doanh nghiệp từ xa.
CVE-2018-13379 cho phép tin tặc tải các tệp độc hại lên các hệ thống chưa được vá và chiếm quyền quản trị các máy chủ Fortinet VPN.
CVE-2020-1472, hay Zerologon, là một lỗ hổng trong giao thức Netlogon phục vụ việc xác thực danh tính người dùng cho máy chủ Domain Controller (DC).
Lỗ hổng này cho phép kẻ tấn công chiếm quyền điều khiển DC, nắm được toàn bộ hệ thống mạng nội bộ hoặc doanh nghiệp và mật khẩu của tất cả các máy trạm được kết nối.
CISA và FBI cho biết những kẻ tấn công đang kết hợp hai lỗ hổng này để chiếm quyền điều khiển các máy chủ Fortinet, sau đó nắm được hệ thống mạng nội bộ thông qua khai thác lỗ hổng Zerologon.
"Chúng tôi đã quan sát được kẻ tấn công sử dụng các công cụ truy cập từ xa hợp pháp, như VPN và Giao thức RDP để truy cập vào môi trường bằng thông tin đăng nhập bị đánh cắp", hai cơ quan này cho biết thêm.
Cảnh báo không cung cấp thông tin chi tiết về những kẻ tấn công ngoại trừ việc mô tả đây là những kẻ tấn công có chủ đích (APT).
Đây là thuật ngữ thường được các chuyên gia an ninh mạng sử dụng để mô tả các nhóm tin tặc được nhà nước “chống lưng”. Trước đó, Microsoft cho biết gần đây họ đã quan sát được nhóm APT Mercury của Iran (MuddyWatter) đang khai thác lỗ hổng Zerologon. Nhóm này được biết đến vì mục tiêu nhắm vào các cơ quan chính phủ Mỹ trong quá khứ.
NGUY CƠ TỪ VIỆC TIN TẶC KẾT HỢP NHIỀU LỖI VPN KHÁC NHAU
CISA và FBI đều khuyến cáo các tổ chức tư nhân và thuộc khối chính phủ của Mỹ nhanh chóng cập nhật bản vá của 2 lỗ hổng.
Ngoài ra, CISA và FBI cũng cảnh báo tin tặc có thể thay thế lỗi Fortinet bằng cách khai thác bất kỳ lỗ hổng nào khác trong VPN và các sản phẩm gateway có lỗ hổng đã được tiết lộ trong vài tháng qua có thể cấp quyền truy cập tương tự.
Danh sách các lỗ hổng có thể bị khai thác:
Tất cả các lỗ hổng trên đều cấp "quyền truy cập ban đầu" vào các máy chủ trong các mạng doanh nghiệp và chính phủ. Chúng có thể dễ dàng kết hợp với lỗi Windows Zerologon để thực hiện các cuộc tấn công tương tự được CISA phát hiện như trên.
Các cuộc tấn công không chỉ nhắm mục tiêu vào mạng lưới chính phủ liên bang, tiểu bang, địa phương và vùng lãnh thổ mà các mạng lưới phi chính phủ cũng bị tin tặc nhắm đến.
"CISA đã phát hiện một số trường hợp truy cập trái phép vào các hệ thống phục vụ bầu cử; tuy nhiên, hiện tại chưa có bằng chứng cho thấy tính toàn vẹn của dữ liệu bầu cử đã bị xâm phạm", cảnh báo của CISA cho biết.
TẤN CÔNG THÔNG QUA LỖ HỔNG VPN FORTINET VÀ ZEROLOGON TRÊN WINDOWS
Các cuộc tấn công đồng thời khai thác hai lỗi bảo mật là CVE-2018-13379 và CVE-2020-1472.
CVE-2018-13379 là một lỗ hổng trong máy chủ VPN Fortinet FortiOS Secure Socket Layer (SSL) vốn đóng vai trò là một cổng an toàn để truy cập mạng doanh nghiệp từ xa.
CVE-2018-13379 cho phép tin tặc tải các tệp độc hại lên các hệ thống chưa được vá và chiếm quyền quản trị các máy chủ Fortinet VPN.
CVE-2020-1472, hay Zerologon, là một lỗ hổng trong giao thức Netlogon phục vụ việc xác thực danh tính người dùng cho máy chủ Domain Controller (DC).
Lỗ hổng này cho phép kẻ tấn công chiếm quyền điều khiển DC, nắm được toàn bộ hệ thống mạng nội bộ hoặc doanh nghiệp và mật khẩu của tất cả các máy trạm được kết nối.
CISA và FBI cho biết những kẻ tấn công đang kết hợp hai lỗ hổng này để chiếm quyền điều khiển các máy chủ Fortinet, sau đó nắm được hệ thống mạng nội bộ thông qua khai thác lỗ hổng Zerologon.
"Chúng tôi đã quan sát được kẻ tấn công sử dụng các công cụ truy cập từ xa hợp pháp, như VPN và Giao thức RDP để truy cập vào môi trường bằng thông tin đăng nhập bị đánh cắp", hai cơ quan này cho biết thêm.
Cảnh báo không cung cấp thông tin chi tiết về những kẻ tấn công ngoại trừ việc mô tả đây là những kẻ tấn công có chủ đích (APT).
Đây là thuật ngữ thường được các chuyên gia an ninh mạng sử dụng để mô tả các nhóm tin tặc được nhà nước “chống lưng”. Trước đó, Microsoft cho biết gần đây họ đã quan sát được nhóm APT Mercury của Iran (MuddyWatter) đang khai thác lỗ hổng Zerologon. Nhóm này được biết đến vì mục tiêu nhắm vào các cơ quan chính phủ Mỹ trong quá khứ.
NGUY CƠ TỪ VIỆC TIN TẶC KẾT HỢP NHIỀU LỖI VPN KHÁC NHAU
CISA và FBI đều khuyến cáo các tổ chức tư nhân và thuộc khối chính phủ của Mỹ nhanh chóng cập nhật bản vá của 2 lỗ hổng.
Ngoài ra, CISA và FBI cũng cảnh báo tin tặc có thể thay thế lỗi Fortinet bằng cách khai thác bất kỳ lỗ hổng nào khác trong VPN và các sản phẩm gateway có lỗ hổng đã được tiết lộ trong vài tháng qua có thể cấp quyền truy cập tương tự.
Danh sách các lỗ hổng có thể bị khai thác:
- VPN dành cho doanh nghiệp Pulse Secure "Connect" (CVE-2019-11510)
- Máy chủ VPN "Global Protect" của Palo Alto Networks (CVE-2019-1579)
- Máy chủ Citrix "ADC" và cổng mạng Citrix (CVE-2019-19781)
- Máy chủ quản lý thiết bị di động MobileIron (CVE-2020-15505)
- Bộ cân bằng mạng BIG-IP của F5 (CVE-2020-5902)
Tất cả các lỗ hổng trên đều cấp "quyền truy cập ban đầu" vào các máy chủ trong các mạng doanh nghiệp và chính phủ. Chúng có thể dễ dàng kết hợp với lỗi Windows Zerologon để thực hiện các cuộc tấn công tương tự được CISA phát hiện như trên.
Theo Zdnet