NSA：國家駭客利用5大漏洞攻擊企業　VMware、Fortinet上榜

美國國安局(NSA)上周警告，國家支持的駭客再一次發動攻擊以竊取美國機密，這一次是借道了五家知名網路設備及軟體的漏洞，包括VMware、Fortinet及Citrix等。

美國國安局指出，名為APT29、Cozy Bear或Dukes的進階滲透威脅(APT)駭客正在對未修補漏洞的設備進行「廣泛的掃瞄與開採行動」，旨在取得驗證登入憑證，以用於未來存取之用。它的目標包括美國及盟國的國家安全、及政府網路。

目前NSA已知有五項軟體漏洞落入掃瞄及攻擊範圍，包括Citrix、Fortinet、Pulse VPN、Synacor及VMware，這些漏洞是廠商早已修補的，因此企業應立即升級到最新版本。

Cisco Talos安全實驗室研究人員指出，有些漏洞還已出現Metaploit模組，正在發動開採活動。此外，這些漏洞攻擊程式也使用了SSL，意謂著用戶應啟動SSL解密工具來偵測開採活動。

NSA認為APT29和俄羅斯外國情報機關(SVR)有關。而上周美國政府也正式指控SolarWinds攻擊的元兇為SVR，並以俄羅斯干預美國大選為由對俄羅斯展開制裁。

五項遭到攻擊及利用的漏洞包括：

CVE-2018-13379：Fortinet FortiGate SSL VPN（跨目錄穿越），駭客可以傳送惡意HTTP呼叫開採，以存取並下載系統檔案，可導致取得VPN憑證。受影響版本包括FortiOS 6.0.0 to 6.0.4, 5.6.3 to 5.6.7 and 5.4.6 to 5.4.12。

CVE-2019-9670：Synacor Zimbra Collaboration Suite（XXE，XML外部實體注入）。位於Zimbra協同套件郵箱元件，攻擊者可取得存取憑證，或敲進目標網路的大門。影響Synacor Zimbra協同套件8.7.x版。

CVE-2019-11510：Pulse Secure Pulse Connect Secure VPN（任意檔案讀取）。這是個重大漏洞，遠端攻擊者可傳送惡意URL觸發，而得以存取網路。受影響版本為8.2R12.1以前、8.3R7.1版本以前，以及9.0R3.4版本以前。

CVE-2019-19781：Citrix Application Delivery Controller and Gateway（跨目錄穿越），是可引發遠端程式碼執行(RCE)的重大漏洞，影響Citrix Application Delivery Controller (ADC)、Citrix Gateway產品13.0.47.24、12.1.55.18、12.0.63.13、 11.1.63.15和 10.5.70.12以前版本，及SD-WAN WANOP。

CVE-2020-4006：VMware Workspace ONE Access（指令注入），可讓攻擊者在作業系統執行任意指令，影響VMWare Workspace One Access、Access Connector、 Identity Manager和Identity Manager Connector。不過需要組態管理員帳號密碼才能成功攻擊。

安全專家指出，這些漏洞影響2款VPN系統、2款虛擬化平台及1個協同平台產品，這簡直就是神組合，它們之中4個存在長達12個月，對美國網路安全而言相當令人憂心，因為這些漏洞風險不是「嚴重」，就是更危險的「重大」。顯然攻擊者利用企業網路安全控制的鬆懈乘虛而入，這在疫情期間更是如此。

企業用戶儘速修補漏洞外，NSA也建議企業關閉外部管理管道，並關閉邊緣網路廢棄、沒有用的協定。

來源：Threat Post