NSA：國家駭客利用 5 大漏洞攻擊企業　VMware、Fortinet 上榜

美國國安局 (NSA) 上周警告，國家支持的駭客再一次發動攻擊以竊取美國機密，這一次是借道了五家知名網路設備及軟體的漏洞，包括 VMware、Fortinet 及 Citrix 等。

美國國安局指出，名為 APT29、Cozy Bear 或 Dukes 的進階滲透威脅 (APT) 駭客正在對未修補漏洞的設備進行「廣泛的掃瞄與開採行動」，旨在取得驗證登入憑證，以用於未來存取之用。它的目標包括美國及盟國的國家安全、及政府網路。

目前 NSA 已知有五項軟體漏洞落入掃瞄及攻擊範圍，包括 Citrix、Fortinet、Pulse VPN、Synacor 及 VMware，這些漏洞是廠商早已修補的，因此企業應立即升級到最新版本。

Cisco Talos 安全實驗室研究人員指出，有些漏洞還已出現 Metaploit 模組，正在發動開採活動。此外，這些漏洞攻擊程式也使用了 SSL，意謂著用戶應啟動 SSL 解密工具來偵測開採活動。

NSA 認為 APT29 和俄羅斯外國情報機關 (SVR) 有關。而上周美國政府也正式指控 SolarWinds 攻擊的元兇為 SVR，並以俄羅斯干預美國大選為由對俄羅斯展開制裁。

五項遭到攻擊及利用的漏洞包括：

CVE-2018-13379：Fortinet FortiGate SSL VPN（跨目錄穿越），駭客可以傳送惡意 HTTP 呼叫開採，以存取並下載系統檔案，可導致取得 VPN 憑證。受影響版本包括 FortiOS 6.0.0 to 6.0.4, 5.6.3 to 5.6.7 and 5.4.6 to 5.4.12。

CVE-2019-9670：Synacor Zimbra Collaboration Suite（XXE，XML 外部實體注入）。位於 Zimbra 協同套件郵箱元件，攻擊者可取得存取憑證，或敲進目標網路的大門。影響 Synacor Zimbra 協同套件 8.7.x 版。

CVE-2019-11510：Pulse Secure Pulse Connect Secure VPN（任意檔案讀取）。這是個重大漏洞，遠端攻擊者可傳送惡意 URL 觸發，而得以存取網路。受影響版本為 8.2R12.1 以前、8.3R7.1 版本以前，以及 9.0R3.4 版本以前。

CVE-2019-19781：Citrix Application Delivery Controller and Gateway（跨目錄穿越），是可引發遠端程式碼執行 (RCE) 的重大漏洞，影響 Citrix Application Delivery Controller (ADC)、Citrix Gateway 產品 13.0.47.24、12.1.55.18、12.0.63.13、 11.1.63.15 和 10.5.70.12 以前版本，及 SD-WAN WANOP。

CVE-2020-4006：VMware Workspace ONE Access（指令注入），可讓攻擊者在作業系統執行任意指令，影響 VMWare Workspace One Access、Access Connector、 Identity Manager 和 Identity Manager Connector。不過需要組態管理員帳號密碼才能成功攻擊。

安全專家指出，這些漏洞影響 2 款 VPN 系統、2 款虛擬化平台及 1 個協同平台產品，這簡直就是神組合，它們之中 4 個存在長達 12 個月，對美國網路安全而言相當令人憂心，因為這些漏洞風險不是「嚴重」，就是更危險的「重大」。顯然攻擊者利用企業網路安全控制的鬆懈乘虛而入，這在疫情期間更是如此。

企業用戶儘速修補漏洞外，NSA 也建議企業關閉外部管理管道，並關閉邊緣網路廢棄、沒有用的協定。

來源：Threat Post