美国联邦调查局（FBI）说，民族国家的攻击者卷入了美国知名实体的网络被黑客入侵

FBI在最近的Flash Security警报中表示，由于CVE-2019-11510漏洞影响了Pulse Secure VPN服务器，因此他所辖的美国市政府和美国金融实体的网络已遭到破坏。

美国网络安全和基础设施安全局（CISA）先前已通知组织有关此漏洞和持续利用该漏洞的攻击，并建议他们于1月10日修补其Pulse Secure VPN服务器。

这些错误使攻击者可以发送特制的URL来连接易受攻击的设备并获得未经授权的访问，并从服务器远程读取包含用户凭据的敏感文件。他们可以稍后用来控制受感染的系统。

在未打补丁的系统上，“允许没有有效用户名和密码的人远程连接到该设备应保护的公司网络，关闭多因素身份验证控件，以纯文本方式远程查看日志和缓存的密码（包括Active Directory）帐户密码），”安全研究员Kevin Beaumont解释说。

美国实体违反了Pulse Secure VPN攻击

美国联邦调查局（FBI）说，自2019年8月以来，未知的攻击者已使用CVE-2019-11510漏洞利用美国实体。8月，攻击者获得了使用美国金融实体网络的访问权限，并使用该漏洞破坏了美国市政府的网络。根据联邦调查局的说法，这两次袭击都涉及一些民族国家行为者。但是，尚不清楚这些事件是否是孤立事件。

 美国政府遭到网络黑客攻击

随着美国市政府网络的攻击于2019年8月中旬发生，攻击者得以枚举和盗用用户的帐户，主机配置信息和会话标识符，从而可以访问内部网络。攻击者有可能在断开网络后，对Active Directory发起攻击，并获取用户的凭据，例如VPN客户端的用户名和密码。在尝试枚举用户的凭据并获得对其他网段的访问权限之后，他们只能使用单因素身份验证来利用网络上的那些网段。

“入侵者尝试访问多个Outlook Web邮件帐户，但由于帐户位于单独的域中而未能成功

要求入侵者未获得其他凭据。

尽管入侵者进行了额外的枚举，但没有证据表明任何数据被泄露或泄露，并且入侵者似乎没有在网络中安装任何持久性功能或立足点。”

 可能与伊朗有联系

一份处理伊朗网络策略和技术的私人行业通知说，“信息表明伊朗网络参与者已尝试利用2019-11510年的常见漏洞和披露（CVE）[..]”

“联邦调查局评估了自2019年末以来发生的这一目标，范围广泛，并已影响到美国和其他国家的许多部门。

联邦调查局观察到行动者正在利用从利用这些漏洞获得的信息来进一步访问目标网络，甚至在受害者修补漏洞之后也建立了其他据点。”

缓解措施

FBI建议市政当局审查此国家安全局（NSA）关于缓解VPN漏洞的网络安全建议。他们还建议采取以下措施：

• 警惕并立即安装供应商发布的补丁程序，尤其是面向Web的设备；
• 阻止或监视上述恶意IP地址以及其他在奇数小时进行远程登录的IP地址；
• 在将升级后的设备重新连接到外部网络之前，请重置凭据。
• 撤消并创建新的VPN服务器密钥和证书；
• 使用多因素身份验证作为一种超越密码的安全性措施，使您能够区分用户与攻击者；
• 查看您的帐户，以确保对手没有创建新帐户；
• 在适当的地方实施网络分段；
• 确保无法从Internet访问管理Web界面

未打补丁的Pulse Secure VPN服务器仍在定位

NSA，在2019年10月，“可以通过Metasploit框架以及GitHub免费在线获取利用代码。恶意网络参与者正在积极使用这种利用代码。”

Bad Packets安全公司于2019年8月25日发现了14,528台未修补的Pulse Secure服务器，如今已屈服于3,328台，其中美国是该排行榜上第一台拥有1000台未修补的VPN服务器的服务器。

Pulse安全首席市场官Scott Gordon（CISSP）表示，攻击者通过通过VPN界面的交互提示向尝试访问的用户分发和激活勒索软件，积极利用“未打补丁的VPN服务器来传播恶意软件REvil（Sodinokibi）”。 通过未修补的易受攻击的Pulse VPN服务器获得资源。”