FBIによると、国家攻撃者は米国の著名な企業のネットワークのハッキングに関与している
FBIは最近のFlash Security警告で、Pulse Secure VPNサーバーに影響を与えるCVE-2019-11510の脆弱性が原因で、米国の地方自治体と米国の金融機関のネットワークが侵害されたと述べました。
米国サイバーセキュリティおよびインフラストラクチャセキュリティ機関(CISA)は以前、この脆弱性と継続的な攻撃について組織に警告して欠陥を悪用し、1月10日にPulse Secure VPNサーバーにパッチを適用することを推奨しました。
このバグにより、攻撃者は特別に細工されたURLを送信して脆弱なデバイスを接続し、不正アクセスを取得し、ユーザー資格情報を含む機密ファイルをサーバーからリモートで読み取ることができます。感染したシステムを後で制御するために使用できます。
パッチが適用されていないシステムでは、「有効なユーザー名とパスワードを持たないユーザーが、デバイスが保護するはずの企業ネットワークにリモート接続し、多要素認証コントロールをオフにし、プレーンテキスト(Active Directoryを含む)アカウントパスワード)」、セキュリティ研究者のケビンボーモントは説明しました。
米国のエンティティは、Pulse Secure VPN攻撃に違反しています
FBIによれば、未知の攻撃者はCVE-2019-11510の脆弱性を使用して、2019年8月から米国のエンティティを悪用しました。 FBIによると、いくつかの国民国家のアクターがこれら2つの攻撃に関与していました。ただし、これらが個別のインシデントである場合、これは明確ではありません。
米国政府はネットワークハッキングを取得しました
2019年8月中旬に米国の自治体ネットワークの攻撃が行われたため、攻撃者はユーザーのアカウント、ホスト設定情報、および内部ネットワークへのアクセスを可能にするセッション識別子を列挙して爽快にすることができました。ネットワークを切断した後、攻撃者はActive Directoryを攻撃し、VPNクライアントのユーザー名やパスワードなどのユーザーの資格情報を収集する可能性があります。ユーザーの資格情報を列挙し、他のネットワークセグメントにアクセスしようとすると、ユーザーは、単一要素認証のみを使用してネットワーク上でそれらのセグメントを悪用することができました。
「侵入者は複数のOutlook Webメールアカウントにアクセスしようとしましたが、アカウントが別々のドメインにあるために失敗しました
侵入者によって取得されていない別の資格情報が必要です。
侵入者は追加の列挙を実行しましたが、データが侵害または流出したという証拠はなく、侵入者はネットワークに永続性機能または足場をインストールしなかったようです。
おそらくイラン接続
イランのサイバー戦術と技術を扱う民間の業界通知は、「イランのサイバー攻撃者がCommon Vulnerability and Exposures(CVE)2019-11510 [..]を悪用しようとしたことを示す情報」と述べました。
「FBIは、2019年後半以降に発生したこのターゲティングを広く評価し、米国およびその他の国の多くのセクターに影響を与えています。
FBIは、攻撃者がこれらの脆弱性を悪用して取得した情報を使用して、標的のネットワークにさらにアクセスし、被害者が脆弱性にパッチを適用した後でも、他の足場を確立することを観察しました。
緩和策
FBIは、VPNの脆弱性を緩和するために、この国家安全保障局(NSA)のサイバーセキュリティアドバイザリを確認するよう市町村に助言しています。また、次の対策を講じることを推奨します。
- ベンダーがリリースしたパッチ、特にWebに面したアプライアンスに注意を払い、すぐにパッチをインストールします。
- 上記の悪意のあるIPアドレスと、奇数時間にリモートログインを実行する他のIPアドレスをブロックまたは監視します。
- アップグレードされたデバイスを外部ネットワークに再接続する前に資格情報をリセットします。
- 新しいVPNサーバーのキーと証明書を取り消して作成します。
- パスワード以外のセキュリティ対策として多要素認証を使用します。これにより、ユーザーと攻撃者を区別できます。
- アカウントを確認して、敵が新しいアカウントを作成していないことを確認します。
- 必要に応じてネットワークセグメンテーションを実装します。
- 管理Webインターフェイスにインターネットからアクセスできないようにする
パッチ未適用のPulse Secure VPNサーバーはまだ標的にしています
NSAは、2019年10月に「ExploitコードはGitHubと同様、Metasploitフレームワークを介してオンラインで無料で入手できます。悪意のあるサイバー攻撃者はこのエクスプロイトコードを積極的に使用しています。」
Bad Packetsのセキュリティ会社は、2019年8月25日に、パッチが適用されていない14,528個のPulse Secure Serverを発見しました。
Pulse Secureの最高マーケティング責任者であるScott Gordon(CISSP)は、攻撃者は、アクセスしようとしているユーザーにVPNインターフェースの対話型プロンプトを介してランサムウェアを配布およびアクティブ化することで、マルウェア「REvil(Sodinokibi) パッチ未適用の脆弱なPulse VPNサーバーを介したリソース。」