NSA:國家駭客利用5大漏洞攻擊企業 VMware、Fortinet上榜

美國國安局(NSA)上周警告,國家支持的駭客再一次發動攻擊以竊取美國機密,這一次是借道了五家知名網路設備及軟體的漏洞,包括VMware、Fortinet及Citrix等。

美國國安局(NSA)上周警告,國家支持的駭客再一次發動攻擊以竊取美國機密,這一次是借道了五家知名網路設備及軟體的漏洞,包括VMware、Fortinet及Citrix等。

美國國安局指出,名為APT29、Cozy Bear或Dukes的進階滲透威脅(APT)駭客正在對未修補漏洞的設備進行「廣泛的掃瞄與開採行動」,旨在取得驗證登入憑證,以用於未來存取之用。它的目標包括美國及盟國的國家安全、及政府網路。

目前NSA已知有五項軟體漏洞落入掃瞄及攻擊範圍,包括Citrix、Fortinet、Pulse VPN、Synacor及VMware,這些漏洞是廠商早已修補的,因此企業應立即升級到最新版本。

Cisco Talos安全實驗室研究人員指出,有些漏洞還已出現Metaploit模組,正在發動開採活動。此外,這些漏洞攻擊程式也使用了SSL,意謂著用戶應啟動SSL解密工具來偵測開採活動。

NSA認為APT29和俄羅斯外國情報機關(SVR)有關。而上周美國政府也正式指控SolarWinds攻擊的元兇為SVR,並以俄羅斯干預美國大選為由對俄羅斯展開制裁。

五項遭到攻擊及利用的漏洞包括:

CVE-2018-13379:Fortinet FortiGate SSL VPN(跨目錄穿越),駭客可以傳送惡意HTTP呼叫開採,以存取並下載系統檔案,可導致取得VPN憑證。受影響版本包括FortiOS 6.0.0 to 6.0.4, 5.6.3 to 5.6.7 and 5.4.6 to 5.4.12。

CVE-2019-9670:Synacor Zimbra Collaboration Suite(XXE,XML外部實體注入)。位於Zimbra協同套件郵箱元件,攻擊者可取得存取憑證,或敲進目標網路的大門。影響Synacor Zimbra協同套件8.7.x版。

CVE-2019-11510:Pulse Secure Pulse Connect Secure VPN(任意檔案讀取)。這是個重大漏洞,遠端攻擊者可傳送惡意URL觸發,而得以存取網路。受影響版本為8.2R12.1以前、8.3R7.1版本以前,以及9.0R3.4版本以前。

CVE-2019-19781:Citrix Application Delivery Controller and Gateway(跨目錄穿越),是可引發遠端程式碼執行(RCE)的重大漏洞,影響Citrix Application Delivery Controller (ADC)、Citrix Gateway產品13.0.47.24、12.1.55.18、12.0.63.13、 11.1.63.15和 10.5.70.12以前版本,及SD-WAN WANOP。

CVE-2020-4006:VMware Workspace ONE Access(指令注入),可讓攻擊者在作業系統執行任意指令,影響VMWare Workspace One Access、Access Connector、 Identity Manager和Identity Manager Connector。不過需要組態管理員帳號密碼才能成功攻擊。

安全專家指出,這些漏洞影響2款VPN系統、2款虛擬化平台及1個協同平台產品,這簡直就是神組合,它們之中4個存在長達12個月,對美國網路安全而言相當令人憂心,因為這些漏洞風險不是「嚴重」,就是更危險的「重大」。顯然攻擊者利用企業網路安全控制的鬆懈乘虛而入,這在疫情期間更是如此。

企業用戶儘速修補漏洞外,NSA也建議企業關閉外部管理管道,並關閉邊緣網路廢棄、沒有用的協定。

來源:Threat Post

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2021 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416