Σύμφωνα με το FBI και την CISA, εγκληματίες του κυβερνοχώρου έχουν αποκτήσει πρόσβαση σε κυβερνητικά δίκτυα συνδυάζοντας σφάλματα VPN και Windows.
Οι hackers στόχευσαν ομοσπονδιακά, κρατικά και τοπικά κυβερνητικά δίκτυα, αλλά και μη κυβερνητικές υπηρεσίες.
“Η CISA γνωρίζει ορισμένες επιθέσεις, οι οποίες οδήγησαν σε μη εξουσιοδοτημένη πρόσβαση σε συστήματα εκλογών. Ωστόσο, η CISA δεν έχει, μέχρι σήμερα, στοιχεία που να αποδεικνύουν ότι η ακεραιότητα των δεδομένων των εκλογών έχει επηρεαστεί“, αναφέρει η ειδοποίηση ασφαλείας.
Οι ειδικοί πιστεύουν ότι οι hackers δεν στοχεύουν απαραίτητα τα κυβερνητικά δίκτυα για την απόκτηση εκλογικών πληροφοριών. Ωστόσο, και αυτές οι πληροφορίες μπορούν να τεθούν σε κίνδυνο αφού βρίσκονται μέσα στα δίκτυα.
Συνδυασμός VPN και Windows Zerologon ευπαθειών
Σύμφωνα με τo FBI και την CISA, οι παρατηρούμενες επιθέσεις συνδύασαν δύο ευπάθειες γνωστές ως CVE-2018-13379 και CVE-2020-1472.
Η CVE-2018-13379 είναι μια ευπάθεια στο Fortinet FortiOS Secure Socket Layer (SSL) VPN, έναν on-premise VPN server που έχει σχεδιαστεί για την απόκτηση πρόσβασης σε εταιρικά δίκτυα απομακρυσμένα. Η ευπάθεια επιτρέπει στους εισβολείς να ανεβάσουν κακόβουλα αρχεία σε μη ενημερωμένα συστήματα και να πάρουν τον έλεγχο Fortinet VPN servers.
Από την άλλη, η ευπάθεια CVE-2020-1472, γνωστή και ως Zerologon, εντοπίζεται στο Netlogon, το πρωτόκολλο που χρησιμοποιείται από Windows workstations για έλεγχο ταυτότητας σε Windows Server που λειτουργεί ως domain controller.
Σύμφωνα με την κοινή ειδοποίηση των CISA και FBI, οι επιτιθέμενοι συνδυάζουν αυτές τις δύο ευπάθειες για να παραβιάσουν Fortinet servers και στη συνέχεια αποκτούν πρόσβαση σε εσωτερικά δίκτυα χρησιμοποιώντας την ευπάθεια Zerologon.
“Οι επιτιθέμενοι χρησιμοποιούν νόμιμα εργαλεία απομακρυσμένης πρόσβασης, όπως VPN και Remote Desktop Protocol (RDP), για πρόσβαση στο περιβάλλον με τα παραβιασμένα credentials“, είπαν οι ειδικοί.
Όσον αφορά στους επιτιθέμενους, το FBI και η CISA δεν έδωσαν πολλές λεπτομέρειες. Ωστόσο, είπαν ότι πρόκειται για προηγμένες APT ομάδες (κρατικές hacking ομάδες). Την περασμένη εβδομάδα, η Microsoft δήλωσε ότι παρατήρησε την ιρανική APT ομάδα Mercury (MuddyWatter) να εκμεταλλεύεται το σφάλμα Zerologon.
Οι ειδικοί προτείνουν σε δημόσιες και ιδιωτικές επιχειρήσεις των ΗΠΑ να ενημερώσουν τα συστήματά τους για να διορθώσουν τα δύο VPN και Windows σφάλματα. Οι ενημερώσεις για τα συγκεκριμένα σφάλματα είναι ήδη διαθέσιμες εδώ και καιρό.
Επιπλέον, η CISA και το FBI προειδοποίησαν ότι οι hackers θα μπορούσαν να χρησιμοποιήσουν οποιαδήποτε άλλη ευπάθεια σε προϊόντα VPN:
- Pulse Secure “Connect” εταιρικά VPN (CVE-2019-11510)
- Palo Alto Networks “Global Protect” VPN servers (CVE-2019-1579)
- Citrix “ADC” servers και Citrix network gateways (CVE-2019-19781)
- MobileIron mobile device management servers (CVE-2020-15505)
- F5 BIG-IP network balancers (CVE-2020-5902)
Όλες αυτές οι ευπάθειες παρέχουν “αρχική πρόσβαση” σε servers που χρησιμοποιούνται σε εταιρικά και κυβερνητικά δίκτυα. Επίσης, οι παραπάνω VPN ευπάθειες, όπως και αυτή της Fortinet, μπορούν να συνδυαστούν εύκολα με το Windows σφάλμα Zerologon.