FBI sagt, dass Angreifer von Nationalstaaten in die von US-amerikanischen Entitäten gehackten Netzwerke verwickelt sind

Mark January 18, 2020

Das FBI teilte kürzlich in einer Flash-Sicherheitswarnung mit, dass die Netzwerke einer US-Kommunalregierung und eines US-Finanzinstituts aufgrund der CVE-2019-11510-Sicherheitslücke, die sich auf Pulse Secure VPN-Server auswirkt, verletzt wurden.

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) warnte Unternehmen vor dieser Sicherheitsanfälligkeit und den anhaltenden Angriffen, um den Fehler auszunutzen, und empfahl ihnen, ihre Pulse Secure VPN-Server am 10. Januar zu patchen.

Die Fehler ermöglichen es Angreifern, speziell gestaltete URLs zu senden, um anfällige Geräte zu verbinden und nicht autorisierten Zugriff zu erhalten, und die vertraulichen Dateien mit den Anmeldeinformationen der Benutzer von ihren Servern aus zu lesen. Sie können das infizierte System später steuern.

Auf einem nicht gepatchten System können Benutzer ohne gültige Benutzernamen und Kennwörter eine Remoteverbindung mit dem Unternehmensnetzwerk herstellen, das das Gerät schützen soll, die Multifaktorauthentifizierungssteuerung deaktivieren, Protokolle und zwischengespeicherte Kennwörter im Nur-Text-Format (einschließlich Active Directory) remote anzeigen “, erklärte der Sicherheitsforscher Kevin Beaumont.

Table Of Content
US-Unternehmen haben die Pulse Secure VPN-Angriffe missachtet
Die US-Regierung hat den Netzwerk-Hack bekommen
Möglicherweise Iran-Verbindung
Linderungsmaßnahmen
Nicht gepatchte Pulse Secure-VPN-Server sind weiterhin auf Ziele ausgerichtet

US-Unternehmen haben die Pulse Secure VPN-Angriffe missachtet

Laut FBI nutzen unbekannte Angreifer die Sicherheitsanfälligkeit CVE-2019-11510 seit August 2019, um US-Unternehmen auszunutzen. Im August gelangten Angreifer mit der angegebenen Sicherheitsanfälligkeit in das Netzwerk eines US-Finanzunternehmens und brachen auch in ein Netzwerk der US-Kommunalregierung ein. Nach Angaben des FBI waren einige nationalstaatliche Akteure an diesen beiden Angriffen beteiligt. Dies ist jedoch nicht klar, wenn es sich um einzelne Vorfälle handelt.

 Die US-Regierung hat den Netzwerk-Hack bekommen

Mit dem Angriff des Netzwerks der US-Kommunalregierung Mitte August 2019 konnten Angreifer Benutzerkonten, Hostkonfigurationsinformationen und Sitzungskennungen auflisten und optimieren, um Zugriff auf das interne Netzwerk zu erhalten. Es besteht die Möglichkeit, dass die Angreifer nach dem Unterbrechen des Netzwerks das Active Directory angreifen und die Anmeldeinformationen der Benutzer wie Benutzernamen und Kennwörter für den VPN-Client abrufen. Nach dem Versuch, die Anmeldeinformationen der Benutzer aufzulisten und Zugriff auf die anderen Netzwerksegmente zu erhalten, konnten sie diese Segmente im Netzwerk nur mit der Einzelfaktorauthentifizierung ausnutzen.

“Die Angreifer haben versucht, auf mehrere Outlook – Webmail – Konten zuzugreifen, waren jedoch nicht erfolgreich, da sich die Konten in verschiedenen Domänen befanden

unterschiedliche Zugangsdaten erforderlich sind, die nicht von dem / den Eindringling (en) erhalten wurden.

Während die Eindringlinge eine zusätzliche Aufzählung durchführten, gab es keinen Hinweis darauf, dass Daten kompromittiert oder exfiltriert wurden, und die Eindringlinge installierten anscheinend keine Persistenzfähigkeit oder keinen Halt im Netzwerk. “

 Möglicherweise Iran-Verbindung

In einer privaten Branchenmeldung zu iranischen Cyber-Taktiken und -Techniken heißt es: “Informationen, aus denen hervorgeht, dass iranische Cyber-Akteure versucht haben, allgemeine Sicherheitslücken und Gefährdungen (CVEs) auszunutzen. 2019-11510 [..]”

“Das FBI schätzt dieses seit Ende 2019 verfolgte Targeting als weitreichend ein und hat zahlreiche Sektoren in den USA und anderen Ländern betroffen.

Das FBI hat beobachtet, wie Akteure Informationen, die aus der Ausnutzung dieser Sicherheitsanfälligkeiten gewonnen wurden, dazu verwendeten, um weiter auf zielgerichtete Netzwerke zuzugreifen und auch nach dem Korrigieren der Sicherheitsanfälligkeit durch das Opfer Fuß zu fassen. “

Linderungsmaßnahmen

Das FBI rät den Kommunen, diese Cybersicherheitsempfehlung der National Security Agency (NSA) zur Minderung der VPN-Schwachstellen zu lesen. Sie empfehlen auch die folgenden Maßnahmen zu ergreifen:

  • Achten Sie auf Patches, die von den Anbietern veröffentlicht wurden, und installieren Sie diese umgehend, insbesondere für Appliances mit Internetverbindung.
  • Blockieren oder überwachen Sie die oben genannten schädlichen IP-Adressen sowie alle anderen IP-Adressen, die zu ungeraden Zeiten Remoteanmeldungen durchführen.
  • Setzen Sie die Anmeldeinformationen zurück, bevor Sie die aktualisierten Geräte wieder mit einem externen Netzwerk verbinden.
  • neue VPN-Server-Schlüssel und -Zertifikate widerrufen und erstellen;
  • Verwenden Sie die Multifaktorauthentifizierung als Sicherheitsmaßstab jenseits von Kennwörtern, um einen Benutzer von einem Angreifer zu unterscheiden.
  • Überprüfen Sie Ihre Konten, um sicherzustellen, dass Gegner keine neuen Konten erstellt haben.
  • Implementieren Sie gegebenenfalls eine Netzwerksegmentierung.
  • Stellen Sie sicher, dass der Zugriff auf administrative Webschnittstellen über das Internet nicht möglich ist

Nicht gepatchte Pulse Secure-VPN-Server sind weiterhin auf Ziele ausgerichtet

NSA, Oktober 2019, “Exploit-Code ist online über das Metasploit-Framework sowie GitHub frei verfügbar. Böswillige Cyber-Akteure verwenden diesen Exploit-Code aktiv.”

Die Sicherheitsfirma Bad Packets entdeckte am 25. August 2019 14.528 nicht gepatchte Pulse Secure-Server, die sich heute auf 3 328 belaufen. Die USA waren die Ersten auf dieser Rangliste mit 1000 nicht gepatchten VPN-Servern.

Scott Gordon (CISSP), Chief Marketing Officer von Pulse Secure, teilte mit, dass Angreifer “ungepatchte VPN-Server zur Verbreitung von Malware, REvil (Sodinokibi), aktiv ausnutzen, indem sie die Ransomware über interaktive Eingabeaufforderungen der VPN-Schnittstelle an die Benutzer verteilen und aktivieren, die versuchen, auf sie zuzugreifen Ressourcen über ungepatchte, anfällige Pulse VPN-Server. “

More Stories

Windows 11 Update: Verabschieden Sie sich von diesen Funktionen

Mark June 25, 2021

Massachusetts MassNotify Android COVID-App von Google erzwungen

Mark June 21, 2021

Was ist neu bei Microsoft Windows 10 Build 19043.1052

Mark June 10, 2021

You may have missed

So entfernen Private-searches.com vom PC

Mark May 4, 2024

So entfernen Service.prsstobe.com vom PC

Mark May 4, 2024

So entfernen BitIndexer-Adware (Mac)

Mark May 4, 2024

So entfernen Rsrc2u.com vom PC

Mark May 4, 2024

So entfernen Brandnewsearch.com vom PC

Mark May 4, 2024