Хакеры используют баги VPN и Windows для атак на правительственные сети США

Фото: Darren Ornitz / Reuters

Хакерам удалось получить доступ к правительственным сетям, использовав уязвимости информационной безопасности в VPN и ошибки Windows – сообщило Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и инфраструктурной безопасности (CISA) в совместном сообщении, которое было опубликовано в пятницу 9 октября.

Атаки были ориентированы на федеральные и государственные правительственные сети. Помимо прочего были обнаружены и атаки на неправительственные сети.

CISA информировано о некоторых случаях, когда деятельность хакеров приводила к несанкционированному доступу к системам поддержки выборов; однако на сегодняшний день CISA не располагает доказательствами того, что целостность данных избирателей была нарушена.

сообщение CISA

В ходе кибератак хакеры эксплуатировали два вида ИБ-эксплойтов, известных как CVE-2018-13379 и CVE-2020-1472.

CVE-2018-13379-это уязвимость в VPN Fortinet FortiOS Secure Socket Layer (SSL) на локальном VPN-сервере, предназначенном для использования в качестве безопасного шлюза для доступа к корпоративным сетям из удаленных мест. О втором эксплойте CVE-2018-13379 стало известно год назад. Уязвимость позволяет злоумышленникам загружать вредоносные файлы на системы и захватывать VPN-серверы Fortinet.

Второй вектор – комбинация Windows уязвимостей. Эксплойт с идентификатором CVE-2020-1472 (известен под никнеймом Zerologon) представляет собой уязвимость в Netlogon протоколе. Данный протокол используется ПК на базе Windows для аутентификации на Windows-сервере, работающем в качестве контроллера домена.

Уязвимость позволяет злоумышленникам захватывать серверы пользователей для управления целыми внутренними/корпоративными сетями, которые как правило содержат как пароли к внутренним рабочим станциям, так и корпоративную документацию.

CISA и ФБР подтверждают, что хакеры в ходе своих кибератак используют эти два вида уязвимостей параллельно, чтобы получить контроль над серверами Fortinet, для последующего развёртывания и захвата внутренних сетей с помощью Zerologon.