美国相关机构和国防公司遭到通过VPN的入侵

  • A+
所属分类:安全新闻

根据CISA紧急指示和警报以及FireEye和Ivanti的博客文章,威胁行为体正在针对Pulse Connect Secure企业VPN中的一个新发现的漏洞和三个以前已知的漏洞。FireEye指出:“没有迹象表明已确定的后门是通过公司网络或软件部署过程的供应链折衷引入的。”

布拉德·威廉姆斯D.
2021年4月20日

美国相关机构和国防公司遭到通过VPN的入侵

华盛顿消息:美国网络安全与基础设施安全局(CISA)今天表示,美国政府机构、关键基础设施实体和私营部门组织又重新成为网络攻击的目标。

CISA的紧急指令和警报是在美国安全公司FireEye和Ivanti分别披露(但相互协调)时发布的,威胁行为体针对的是Pulse Connect Secure设备中一个新发现的漏洞三个先前已知的漏洞。当前可用于三个已知漏洞的安全补丁程序。预计将在几周内为该新发现的漏洞打补丁。

据说Ivanti、FireEye,Microsoft的威胁情报中心以及美国政府和执法机构正在就此事件进行合作。

Pulse Connect Secure是企业虚拟专用网(VPN)产品。当数据在公共网络(例如Internet)上传输时,VPN会对数据进行加密。Pulse Connect Secure使远程工作者可以安全地访问企业网络。

紧急指令说:“ CISA已确定对Pulse Connect Secure产品的这种利用会对联邦民用行政部门的机构造成不可接受的风险,需要采取紧急行动。该确定基于以下因素:外部网络环境中的威胁行为者当前对这些漏洞的利用,利用这些漏洞的可能性,联邦企业中受影响软件的普遍性,损害代理信息系统的高可能性以及成功妥协的潜在影响。”

目前尚不清楚该活动的规模和范围。Pulse Connect Secure母公司Ivanti在其博客文章中表示,“数量有限的客户”已经“揭示了利用行为的证据。” Ivanti没有指定受影响客户的数量或类型。FireEye的Mandiant部门表示,全球的国防,政府和金融组织都受到了影响,其中包括“美国(国防工业基地)公司”和“欧洲组织”,但调查人员并未详细说明。

CISA的紧急指令表明了联邦政府的关注。该警报是在紧急指令发布前几个小时发布的,它表示CISA至少可以追溯到2020年6月,并且已经做出调查。这引起了人们对今天才发布紧急指令的原因和时间的质疑。

曼迪安特说,它“怀疑”一个威胁行为体是“代表中国政府的活动”。该小组于2020年8月开始利用漏洞,并一直持续到3月。

曼迪安特(Mandiant)表示,目前缺乏足够的证据来确定其认为是第二威胁行为体的原因,该公司表示,该漏洞利用了从2020年10月到3月的漏洞。

CISA并没有像Mandiant那样牵连中国或任何其他方面,在整个警报过程中仅指“网络威胁行为体或行为体”。

一个CISA-NSA-FBI联合咨询出具上周警告说,俄罗斯对外情报局(SVR)正在积极利用一个已知的脉冲连接安全漏洞。

根据CISA和Mandiant的说法,这四个漏洞使威胁攻击者能够获得对Pulse Connect Secure设备的初始访问权限,它们都表示已对最近的安全事件做出了响应。在此初始感染媒介之后,CISA和Mandiant说威胁者注入了网络外壳。Web Shell使攻击者能够远程控制受感染的设备,维持持久访问并在网络之间横向移动以及其他活动。

明显的杀伤链让人想起最近的多步Microsoft Exchange电子邮件服务器黑客攻击,其中威胁行为者通过零日漏洞获得了对电子邮件服务器的初始访问权限,然后注入了Web外壳以进行远程控制,持久访问和附加功能。

Mandiant说,针对Pulse Connect Secure的威胁参与者已显示出能够收集登录凭据,绕过单因素和多因素身份验证,修改文件,取消补丁程序修改的文件,删除攻击者的实用程序和脚本以及清除日志的能力。此类功能使攻击者可以冒充网络上的合法用户,逃避检测并在整个产品升级过程中保持持久的访问权限。

Mandiant表示,它将跟踪与Pulse Connect Secure漏洞相关的12个恶意软件家族。该公司表示:“这些家族与规避身份验证和对这些设备的后门访问有关,但它们不一定彼此相关,并且已在单独的调查中观察到。可能有多个参与者负责创建和部署这些不同的代码系列。”

Ivanti表示,本月发现了新近披露的Pulse Connect Secure漏洞,该公司一直在“迅速为减轻影响系统风险的有限数量的受影响客户直接提供缓解措施”。Ivanti现在正在开发软件更新,该更新将在5月初进行部署。此外,该公司表示已经发布了有关高级缓解措施的信息,并创建了The Pulse Security Integrity Checker,这是一种在线工具,组织可以使用该工具来“评估其产品的安装情况,并查看它们是否因这些问题而受到了影响”。

CISA的紧急指令要求所有联邦机构枚举每个Pulse Connect Secure实例,并在4月23日美国东部夏令时间下午5点之前运行完整性检查程序工具。

今天的新闻是在白宫宣布紧随其后的紧急网络团队之后撤出的,这些紧急网络团队被派遣来应对响应SolarWinds和Microsoft Exchange电子邮件服务器活动所需要的“激增” 。

在今天公开的Pulse Connect Secure网络运动中,Mandiant指出:“没有迹象表明已识别出的后门是通过公司网络或软件部署过程的供应链攻击引入的。”



原文来源:网电空间战

美国相关机构和国防公司遭到通过VPN的入侵

本文始发于微信公众号(网络安全应急技术国家工程实验室):美国相关机构和国防公司遭到通过VPN的入侵

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: