美國政府所屬機構遭駭侵者利用已知 VPN 漏洞發動攻擊,所屬資料被竊.png

美國資安主管機關日前發表資安通報,指出美國政府旗下某單位遭駭侵成功,內部資料可能也遭外洩。

美國資安主管機關「資安與基礎建設安全局」(Cybersecurity and Infrastructure Security Agency, CISA)日前發表資安通報,指出美國政府旗下某單位遭駭侵成功,且內部資料可能已經外洩。

CISA 於 9/24 發表該資安通報(AR20-268A)。通報中指出駭侵者成功取得該單位多名雇員的 Office 365 登入資訊,甚至包括網域管理員的登入資訊在內;並且使用該單位的私有 VPN 進行遠端登入,同時下載檔案。

CISA 指出,駭侵者可能是透過 Pulse Secure VPN 的已知漏洞 CVE-2019-11510 入侵該單位並取得單位雇員的登入資訊。該漏洞的修補程式,早在 2019 年四月便已釋出,美國國土安全部更在稍早針對此漏洞發表資安通報,要求美國政府各單位提高警覺並儘速修補;但 CISA 仍觀察到多起利用此漏洞針對美國政府各單位發動駭侵攻擊的案例。

CISA 在通報中指出,駭侵者先以某雇員的 Office 365 帳號,向該單位的 IT 支援系統取得 VPN 的連線方式與使用密碼,然後再查出其內網 Active Directory 與群組原則金鑰,之後再利用一些常用的 Windows 指令連上 VPS,並連上控制伺器,下載並在內網中執行惡意軟體。


  • 參考連結

https://us-cert.cisa.gov/ncas/analysis-reports/ar20-268a

https://www.tenable.com/blog/cve-2019-11510-critical-pulse-connect-secure-vulnerability-used-in-sodinokibi-ransomware

https://threatpost.com/feds-cyberattack-data-stolen/159541/

arrow
arrow

    twcert 發表在 痞客邦 留言(0) 人氣()