FBI sagt, dass Angreifer von Nationalstaaten in die von US-amerikanischen Entitäten gehackten Netzwerke verwickelt sind
Das FBI teilte kürzlich in einer Flash-Sicherheitswarnung mit, dass die Netzwerke einer US-Kommunalregierung und eines US-Finanzinstituts aufgrund der CVE-2019-11510-Sicherheitslücke, die sich auf Pulse Secure VPN-Server auswirkt, verletzt wurden.
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) warnte Unternehmen vor dieser Sicherheitsanfälligkeit und den anhaltenden Angriffen, um den Fehler auszunutzen, und empfahl ihnen, ihre Pulse Secure VPN-Server am 10. Januar zu patchen.
Die Fehler ermöglichen es Angreifern, speziell gestaltete URLs zu senden, um anfällige Geräte zu verbinden und nicht autorisierten Zugriff zu erhalten, und die vertraulichen Dateien mit den Anmeldeinformationen der Benutzer von ihren Servern aus zu lesen. Sie können das infizierte System später steuern.
Auf einem nicht gepatchten System können Benutzer ohne gültige Benutzernamen und Kennwörter eine Remoteverbindung mit dem Unternehmensnetzwerk herstellen, das das Gerät schützen soll, die Multifaktorauthentifizierungssteuerung deaktivieren, Protokolle und zwischengespeicherte Kennwörter im Nur-Text-Format (einschließlich Active Directory) remote anzeigen “, erklärte der Sicherheitsforscher Kevin Beaumont.
US-Unternehmen haben die Pulse Secure VPN-Angriffe missachtet
Laut FBI nutzen unbekannte Angreifer die Sicherheitsanfälligkeit CVE-2019-11510 seit August 2019, um US-Unternehmen auszunutzen. Im August gelangten Angreifer mit der angegebenen Sicherheitsanfälligkeit in das Netzwerk eines US-Finanzunternehmens und brachen auch in ein Netzwerk der US-Kommunalregierung ein. Nach Angaben des FBI waren einige nationalstaatliche Akteure an diesen beiden Angriffen beteiligt. Dies ist jedoch nicht klar, wenn es sich um einzelne Vorfälle handelt.
Die US-Regierung hat den Netzwerk-Hack bekommen
Mit dem Angriff des Netzwerks der US-Kommunalregierung Mitte August 2019 konnten Angreifer Benutzerkonten, Hostkonfigurationsinformationen und Sitzungskennungen auflisten und optimieren, um Zugriff auf das interne Netzwerk zu erhalten. Es besteht die Möglichkeit, dass die Angreifer nach dem Unterbrechen des Netzwerks das Active Directory angreifen und die Anmeldeinformationen der Benutzer wie Benutzernamen und Kennwörter für den VPN-Client abrufen. Nach dem Versuch, die Anmeldeinformationen der Benutzer aufzulisten und Zugriff auf die anderen Netzwerksegmente zu erhalten, konnten sie diese Segmente im Netzwerk nur mit der Einzelfaktorauthentifizierung ausnutzen.
“Die Angreifer haben versucht, auf mehrere Outlook – Webmail – Konten zuzugreifen, waren jedoch nicht erfolgreich, da sich die Konten in verschiedenen Domänen befanden
unterschiedliche Zugangsdaten erforderlich sind, die nicht von dem / den Eindringling (en) erhalten wurden.
Während die Eindringlinge eine zusätzliche Aufzählung durchführten, gab es keinen Hinweis darauf, dass Daten kompromittiert oder exfiltriert wurden, und die Eindringlinge installierten anscheinend keine Persistenzfähigkeit oder keinen Halt im Netzwerk. “
Möglicherweise Iran-Verbindung
In einer privaten Branchenmeldung zu iranischen Cyber-Taktiken und -Techniken heißt es: “Informationen, aus denen hervorgeht, dass iranische Cyber-Akteure versucht haben, allgemeine Sicherheitslücken und Gefährdungen (CVEs) auszunutzen. 2019-11510 [..]”
“Das FBI schätzt dieses seit Ende 2019 verfolgte Targeting als weitreichend ein und hat zahlreiche Sektoren in den USA und anderen Ländern betroffen.
Das FBI hat beobachtet, wie Akteure Informationen, die aus der Ausnutzung dieser Sicherheitsanfälligkeiten gewonnen wurden, dazu verwendeten, um weiter auf zielgerichtete Netzwerke zuzugreifen und auch nach dem Korrigieren der Sicherheitsanfälligkeit durch das Opfer Fuß zu fassen. “
Linderungsmaßnahmen
Das FBI rät den Kommunen, diese Cybersicherheitsempfehlung der National Security Agency (NSA) zur Minderung der VPN-Schwachstellen zu lesen. Sie empfehlen auch die folgenden Maßnahmen zu ergreifen:
- Achten Sie auf Patches, die von den Anbietern veröffentlicht wurden, und installieren Sie diese umgehend, insbesondere für Appliances mit Internetverbindung.
- Blockieren oder überwachen Sie die oben genannten schädlichen IP-Adressen sowie alle anderen IP-Adressen, die zu ungeraden Zeiten Remoteanmeldungen durchführen.
- Setzen Sie die Anmeldeinformationen zurück, bevor Sie die aktualisierten Geräte wieder mit einem externen Netzwerk verbinden.
- neue VPN-Server-Schlüssel und -Zertifikate widerrufen und erstellen;
- Verwenden Sie die Multifaktorauthentifizierung als Sicherheitsmaßstab jenseits von Kennwörtern, um einen Benutzer von einem Angreifer zu unterscheiden.
- Überprüfen Sie Ihre Konten, um sicherzustellen, dass Gegner keine neuen Konten erstellt haben.
- Implementieren Sie gegebenenfalls eine Netzwerksegmentierung.
- Stellen Sie sicher, dass der Zugriff auf administrative Webschnittstellen über das Internet nicht möglich ist
Nicht gepatchte Pulse Secure-VPN-Server sind weiterhin auf Ziele ausgerichtet
NSA, Oktober 2019, “Exploit-Code ist online über das Metasploit-Framework sowie GitHub frei verfügbar. Böswillige Cyber-Akteure verwenden diesen Exploit-Code aktiv.”
Die Sicherheitsfirma Bad Packets entdeckte am 25. August 2019 14.528 nicht gepatchte Pulse Secure-Server, die sich heute auf 3 328 belaufen. Die USA waren die Ersten auf dieser Rangliste mit 1000 nicht gepatchten VPN-Servern.
Scott Gordon (CISSP), Chief Marketing Officer von Pulse Secure, teilte mit, dass Angreifer “ungepatchte VPN-Server zur Verbreitung von Malware, REvil (Sodinokibi), aktiv ausnutzen, indem sie die Ransomware über interaktive Eingabeaufforderungen der VPN-Schnittstelle an die Benutzer verteilen und aktivieren, die versuchen, auf sie zuzugreifen Ressourcen über ungepatchte, anfällige Pulse VPN-Server. “