国家黑客利用VPN服务器漏洞入侵美国政府网络

近日，FBI 在一次安全警报中表示，有国家(伊朗)黑客利用 Pulse Secure VPN 服务器的严重漏洞，破坏了美国市政府和美国金融公司的网络。

该漏洞使未经身份验证的远程攻击者可以发送特制的 URI，以连接到易受攻击的服务器并读取包含用户凭据的敏感文件，并在后继的攻击阶段用于控制组织的系统等。

在未打补丁的系统上，该漏洞允许无有效用户名和密码的人远程连接到公司网络，关闭多因素身份验证控制，远程查看纯文本日志(包括 Active Directory 帐户和缓存的密码)。

美国多家机构实体遭到入侵

在同一个月内，攻击者利用相同漏洞的攻击破坏了美国市政政府网络。

根据 FBI 的报道，针对和破坏美国市政府网络的攻击发生在 2019 年 8 月中。这次攻击中，攻击者能够枚举和泄露用户的帐户、主机配置信息和会话标识符，从而使他们能够进一步访问内部网络。目前，联邦调查局正在继续收集对该事件的失陷指标。

根据两次攻击中使用的战术，技术和程序 (TTP) 的复杂程度，FBI 认为，身份不明的国家黑客参与了这两次攻击;但是，尚不清楚是否是孤立事件。

Travelex 在 2019 年 9 月就接到了服务器脆弱性警告，但是直到被勒索软件也没有做出回应或者修补漏洞。

PulseSecure 首席市场官 Scott Gordon (CISSP) 告诉媒体，攻击者正在通过利用 VPN 接口的交互提示向用户尝试分发和激活勒索软件，利用 “未打补丁的VPN服务器传播恶意软件 REvil (Sodinokibi)。”

可能是伊朗黑客

FBI 评估了自 2019 年末以来发生的 VPN 服务器漏洞攻击，发现其波及广泛，已影响到美国和其他国家的许多部门。

漏洞缓解措施和安全建议

FBI 建议美国市政当局仔细阅读国家安全局 (NSA) 的 VPN 漏洞缓解建议，采取以下措施来防御针对与市政网络域的潜在攻击，包括 “管理紧急服务、交通或选举的本地基础结构”：

防御措施

警惕并立即安装供应商发布的补丁程序，尤其是面向 Web 的设备;

阻止或监视上述恶意IP地址以及其他在特殊时间段进行远程登录的 IP 地址;

在将升级后的设备重新连接到外部网络之前，请重置凭据。

撤消并创建新的 VPN 服务器密钥和证书;

使用多因素身份验证作为密码的补充安全性措施;

查看帐户列表，以确保对手没有创建新帐户;

在适当的地方实施网络分段;

确保无法从 Internet 访问管理 Web 界面。

来源：安全牛