U3F1ZWV6ZTQ1OTM5OTE4NDM1OTY0X0ZyZWUyODk4Mjg3MzAxMzc3OA==

تقوم مجموعات الهاكر بسلسلة أخطاء VPN و Windows لمهاجمة شبكات الحكومة الأمريكية

تقوم مجموعات الهاكر بسلسلة أخطاء VPN و Windows لمهاجمة شبكات الحكومة الأمريكية


حصل المتسللون على إمكانية الوصول إلى الشبكات الحكومية من خلال الجمع بين أخطاء VPN و Windows ، قال مكتب التحقيقات الفيدرالي (FBI) ، وبالتالي وكالة الأمن السيبراني وأمن البنية التحتية (CISA) خلال تنبيه أمني مشترك نُشر يوم الجمعة.

استهدفت الهجمات الشبكات الحكومية الفيدرالية والولائية والمحلية والقبلية والإقليمية (SLTT). وقالت الوكالتان إنه تم رصد هجمات ضد شبكات غير حكومية.

"CISA تدرك بعض الحالات التي أدى فيها هذا النشاط إلى الوصول غير المصرح به إلى أنظمة دعم الانتخابات ؛ ومع ذلك ، لا يوجد لدى CISA دليل حتى الآن على أن سلامة بيانات الانتخابات قد تم اختراقها ،" يقرأ تنبيه السلامة.

وأضاف المسؤولون: "على الرغم من أنه لا يبدو أنه تم اختيار هذه الأهداف نظرًا لقربها من معلومات الانتخابات ، فقد يكون هناك أيضًا بعض المخاطر على المعلومات الانتخابية الموجودة على الشبكات الحكومية".

الهجمات تسلسل FORTINET VPN و WINDOWS ZEROLOGON BUGS
وفقًا للتنبيه المشترك ، جمعت الهجمات الملاحظة بين عيبين أمنيين يشار إليهما بـ CVE-2018-13379 و CVE-2020-1472.

قد يكون CVE-2018-13379 ثغرة أمنية في Fortinet FortiOS Secure Socket Layer (SSL) VPN ، وهو خادم VPN محلي مصمم ليتم استخدامه كبوابة آمنة للوصول إلى شبكات المؤسسة من المواقع البعيدة.

يسمح CVE-2018-13379 ، الذي تم الكشف عنه العام الماضي ، للمهاجمين بتحميل ملفات ضارة على أنظمة غير مصححة والاستيلاء على خوادم Fortinet VPN.

قد تكون CVE-2020-1472 ، التي يشار إليها أيضًا باسم Zerologon ، ثغرة أمنية في Netlogon ، وهو البروتوكول الذي تستخدمه محطات عمل Windows للمصادقة على خادم Windows يعمل كوحدة تحكم في موقع الويب.

تسمح الثغرة الأمنية للمهاجمين بالمطالبة عبر وحدات التحكم بالمجال ومستخدمي الخوادم لإدارة شبكات داخلية / مؤسسية بالكامل وتحتوي عادةً على كلمات مرور لجميع محطات العمل المتصلة.

CISA وبالتالي مكتب التحقيقات الفيدرالي (FBI) يقول المهاجمون إنهم يجمعون بين هاتين الثغرات الأمنية لاختطاف خوادم Fortinet ثم يقوموا بالتركيز على الشبكات الداخلية والاستيلاء عليها باستخدام Zerologon.

وأضافت الوكالتان أيضًا: "تمت ملاحظة الجهات الفاعلة بعد ذلك باستخدام أدوات الوصول عن بُعد الشرعية ، مثل VPN وبروتوكول سطح المكتب البعيد (RDP) ، للوصول إلى البيئة باستخدام بيانات الاعتماد المخترقة".

لم يقدم التحذير المشترك تفاصيل حول المهاجمين باستثناء شرحهم بأنهم "جهات فاعلة متقدمة في مجال التهديد المستمر".

عادة ما يستخدم هذا المصطلح من قبل خبراء الأمن السيبراني لشرح مجموعات القرصنة التي ترعاها الدولة. في الأسبوع الماضي ، قالت مايكروسوفت إنها لاحظت أن APT Mercury الإيرانية (MuddyWatter) تستغل حشرة Zerologon في الهجمات الأخيرة ، وهو عامل تهديد معروف باستهدافه الوكالات الحكومية الأمريكية في الماضي.

خطر المتسللين الذين يسلسلون أخطاء VPN المختلفة
أوصى كل من CISA وبالتالي مكتب التحقيقات الفيدرالي (FBI) أن الكيانات في كل من القطاعين الخاص والعام في الولايات المتحدة لتحديث أنظمة لتصحيح الأخطاء 2 ، تلك التصحيحات متاحة لعدة أشهر.

بالإضافة إلى ذلك ، حذرت CISA وبالتالي مكتب التحقيقات الفيدرالي أيضًا من أن المتسللين يمكن أن يستبدلوا ثغرة Fortinet بالثغرة الأخرى في منتجات VPN والبوابات التي تم الكشف عنها خلال الأشهر القليلة الماضية والتي توفر وصولاً مشابهًا.

وهذا يشمل نقاط الضعف في:

  • شبكات VPN الخاصة بالمؤسسات "الاتصال" Pulse Secure (CVE-2019-11510)
  • خوادم VPN "Global Protect" من Palo Alto Networks (CVE-2019-1579)
  • خوادم Citrix "ADC" وبوابات شبكة Citrix (CVE-2019-19781)
  • خوادم إدارة الأجهزة المحمولة MobileIron (CVE-2020-15505)
  • موازن شبكة F5 BIG-IP (CVE-2020-5902)
توفر جميع نقاط الضعف المذكورة أعلاه "وصولاً مبدئيًا" إلى الخوادم المستخدمة غالبًا في لسعة شبكات المؤسسات والحكومة. يمكن أيضًا ربط هذه الثغرات الأمنية بسهولة باستخدام خطأ Zerologon Windows لهجمات مماثلة بسبب عمليات الاقتحام Fortinet + Zerologon التي لاحظتها CISA.
تعليقات
ليست هناك تعليقات
إرسال تعليق

إرسال تعليق

الاسمبريد إلكترونيرسالة