L’FBI afferma che gli attaccanti dello stato-nazione sono coinvolti nelle reti di entità statunitensi di notevole importanza
In un recente avviso Flash Security, l’FBI ha dichiarato che le reti di un governo municipale statunitense e di un’entità finanziaria statunitense sono state violate a causa della vulnerabilità CVE-2019-11510 che colpisce i server Pulse Secure VPN.
La US Cybersecurity and Infrastructure Security Agency o CISA in precedenza hanno avvisato le organizzazioni su questa vulnerabilità e gli attacchi in corso per sfruttare il difetto e li ha raccomandati di patchare i loro server Pulse Secure VPN il 10 gennaio.
I bug consentono agli aggressori di inviare URL appositamente predisposti per connettere dispositivi vulnerabili e ottenere accessi non autorizzati e per leggere i file sensibili contenenti le credenziali degli utenti dai loro server in remoto. In seguito possono utilizzare per controllare il sistema infetto.
Su un sistema senza patch “, consente alle persone senza nomi utente e password validi di connettersi in remoto alla rete aziendale che il dispositivo dovrebbe proteggere, disattivare i controlli di autenticazione a più fattori, visualizzare in remoto registri e password memorizzate nella cache in testo semplice (incluso Active Directory password dell’account) “, ha spiegato il ricercatore di sicurezza Kevin Beaumont.
Le entità statunitensi hanno violato gli attacchi Pulse Secure VPN
L’FBI afferma che gli aggressori sconosciuti hanno utilizzato la vulnerabilità CVE-2019-11510 per sfruttare le entità statunitensi dall’agosto 2019. Ad agosto, gli aggressori hanno ottenuto l’accesso alla rete di un’entità finanziaria statunitense e hanno anche violato una rete del governo municipale degli Stati Uniti utilizzando la vulnerabilità dichiarata. Secondo l’FBI, alcuni attori dello stato-nazione sono stati coinvolti in questi due attacchi. Tuttavia, questo non è chiaro se si tratta di incidenti isolati.
Il governo degli Stati Uniti ha hackerato la rete
Con l’attacco della rete del governo municipale degli Stati Uniti avvenuta a metà agosto 2019, gli aggressori sono stati in grado di enumerare ed esaltare gli account degli utenti, le informazioni sulla configurazione dell’host e gli identificatori di sessione che potrebbero consentire di accedere alla rete interna. Esiste la possibilità che, dopo aver rotto la rete, gli aggressori abbiano attaccato l’Active Directory e raccolto le credenziali degli utenti come nomi utente e password per il client VPN. A seguito del tentativo di enumerare le credenziali degli utenti e di ottenere l’accesso agli altri segmenti della rete, sono stati in grado di sfruttare tali segmenti sulla rete utilizzando solo l’autenticazione a fattore singolo.
“L’intruso (i) ha tentato di accedere a diversi account di posta web di Outlook ma non ha avuto successo a causa dell’account su domini separati
che richiedono credenziali diverse non ottenute dall’intruso.
Mentre gli intrusi hanno eseguito un ulteriore conteggio, non vi sono prove che i dati siano stati compromessi o esfiltrati e gli intrusi apparentemente non hanno installato alcuna capacità di persistenza o punto d’appoggio nella rete. “
Forse una connessione con l’Iran
Una notifica del settore privato riguardante le tattiche e le tecniche del cyber iraniano ha affermato che “le informazioni che indicano che i cyber attori iraniani hanno tentato di sfruttare le vulnerabilità comuni e le esposizioni (CVE) 2019-11510 [..]”
“L’FBI valuta questo obiettivo, che si è verificato dalla fine del 2019, ha una portata ampia e ha interessato numerosi settori negli Stati Uniti e in altri paesi.
L’FBI ha osservato gli attori che utilizzano le informazioni acquisite sfruttando queste vulnerabilità per accedere ulteriormente a reti mirate e stabilire altri punti d’appoggio anche dopo che la vittima ha corretto la vulnerabilità “.
Misure di mitigazione
L’FBI consiglia ai Comuni di rivedere questo avviso di sicurezza informatica della National Security Agency (NSA) sulla mitigazione delle vulnerabilità della VPN. Raccomandano inoltre di adottare le seguenti misure:
- Prestare attenzione e installare immediatamente le patch rilasciate dai fornitori, in particolare per gli apparecchi Web;
- Bloccare o monitorare gli indirizzi IP dannosi sopra, così come qualsiasi altro indirizzo IP che esegue accessi remoti a orari dispari;
- Ripristinare le credenziali prima di ricollegare i dispositivi aggiornati a una rete esterna;
- Revocare e creare nuove chiavi e certificati del server VPN;
- Utilizzare l’autenticazione a più fattori come misura di sicurezza oltre le password, che consente di differenziare un utente da un utente malintenzionato;
- Rivedi i tuoi account per assicurarti che gli avversari non abbiano creato nuovi account;
- Implementare la segmentazione della rete ove appropriato;
- Assicurarsi che le interfacce Web amministrative non siano accessibili da Internet
I server Pulse Secure VPN senza patch stanno ancora prendendo di mira
NSA, nell’ottobre 2019, “Il codice exploit è disponibile gratuitamente online tramite il framework Metasploit e GitHub. I cyber attori malvagi stanno attivamente utilizzando questo codice exploit”.
La società di sicurezza Bad Packets, il 25 agosto 2019, ha scoperto 14.528 server Pulse Secure senza patch che oggi hanno prodotto 3, 328, con gli Stati Uniti i primi in questa classifica con 1000 server VPN senza patch.
Scott Gordon (CISSP), Chief Marketing Officer di Pulse Secure, ha dichiarato che gli aggressori stanno sfruttando attivamente “server VPN senza patch per propagare malware, REvil (Sodinokibi), distribuendo e attivando il Ransomware attraverso prompt interattivi dell’interfaccia VPN agli utenti che tentano di accedere risorse attraverso server Pulse VPN senza patch e vulnerabili. “
