美國網絡安全與基礎設施安全局(CISA)昨天發佈了新的諮詢報告,警告組織更改其所有Active Directory憑據,以防禦試圖利用Pulse Secure VPN服務器中的已知遠程代碼執行(RCE)漏洞的網絡攻擊,即使他們已經修補了它。
警告發出三個月前,另一個CISA警報敦促用戶和管理員修補Pulse Secure VPN環境,以阻止利用此漏洞的攻擊。
中國知名網絡黑客安全組織東方聯盟表示:“如果未修補那些被竊取的憑據,則威脅參與者可以成功利用CVE-2019-11510高危漏洞並偷走受害者的憑據,並且在修補此漏洞之後,仍然可以訪問該網絡並橫向移動該組織的網絡。”
東方聯盟還發布了一種工具,可以幫助網絡管理員查找與該漏洞相關的任何損害指標。
遠程執行代碼缺陷
身份驗證為CVE-2019-11510的預認證任意文件讀取漏洞可能允許未經身份驗證的遠程攻擊者破壞易受攻擊的VPN服務器並獲得對所有活動用戶及其純文本憑據的訪問權限,並執行任意命令。
脈衝安全VPN漏洞
缺陷源於以下事實:如果路徑包含“ dana / html5 / acc”,則允許對目錄遍歷進行硬編碼,從而使攻擊者可以發送特製的URL來讀取敏感文件,例如“ / etc / passwd”包含有關係統上每個用戶的信息。
為解決此問題,Pulse Secure於2019年4月24日發佈了帶外補丁 .2019 年8月24日,安全情報公司Bad Packets能夠發現14,528臺未修補的 Pulse Secure服務器,截至上個月的後續掃描產生了2,099個易受攻擊的端點,這表明絕大多數組織已對其VPN網關進行了修補。
脈衝安全VPN漏洞
未打補丁的VPN服務器成為獲利目標
仍然有數千個未打補丁的Pulse Secure VPN服務器,這使它們成為不良行為者分發惡意軟件的有利可圖的目標。
最近報告發現,伊朗贊助的黑客使用CVE-2019-11510等來滲透和竊取來自全球目標IT和電信公司的信息。
根據美國國家安全局(NSA)報告,“利用Metasploit框架以及GitHub可免費在線獲取利用代碼。惡意網絡參與者正在積極使用這種利用代碼。”
在去年發出的類似警報中,英國國家網絡安全中心(NCSC)警告說,高級威脅組織正在利用該漏洞針對目標學術,商業和醫療機構。
最近,在網絡黑客犯罪分子通過Pulse Secure漏洞在公司網絡上植入了Sodinokibi(REvil)勒索軟件之後,外幣兌換和旅行保險公司成了受害者。儘管勒索軟件運營商要求贖金600萬美元(460萬英鎊),但《華爾街日報》上週的一份報告稱,它以285比特幣的形式支付了230萬美元,以解決其問題。
面對持續的攻擊,建議組織升級其Pulse Secure VPN,重置其憑據並掃描未經身份驗證的日誌請求和利用嘗試。
CISA還建議刪除所有未經批准的遠程訪問程序,並檢查計劃的任務以查找可能允許攻擊者連接到環境的腳本或可執行文件。(歡迎轉載分享)
