美国、英国、澳大利亚等国家的网络安全机构发表联合声明,称涉嫌伊朗政府资助的攻击者正在积极利用Fortinet和Microsoft Exchange ProxyShell的漏洞。
在利用漏洞获得受害者系统的初始访问权限后,攻击者开始窃取数据并部署勒索软件。
漏洞“泛滥”多部门遭受其害
网络安全和基础设施安全局(CISA)、联邦调查局(FBI)、澳大利亚网络安全中心(ACSC)英国国家网络安全中心(NCSC)在分析了受害网络系统后,攻击者使用了它Fortinet FortiOS影响微软的漏洞和漏洞Exchange远程代码执行漏洞可追溯到2021年3月。
黑客使用的漏洞清单如下:
- CVE-2021-34473(CVSS评分:9.1)--微软Exchange服务器远程代码执行漏洞(又称 "ProxyShell");
- CVE-2020-12812 (CVSS评分:9.8) - FortiOS SSL VPN 2FA,改变用户名大小写绕过的漏洞;
- CVE-2019-5591(CVSS评分:6.5)--FortiGate,默认配置未验证LDAP服务器身份;
- CVE-2018-13379(CVSS评分:9.8)--通过特制的HTTP资源要求;通过SSL VPN泄露FortiOS系统文件。
根据The Hacker News媒体披露,许多受害者遭受了网络攻击,包括澳大利亚的许多组织和美国的许多关键基础设施部门。
漏洞破坏力强,专家建议立即“扼杀”
CISA和FBI通过分析攻击者最近的活动,其他部门的网络安全专家发现该组织非常活跃,不仅使用它FortiOS 漏洞“访问”早在2021年5月,澳大利亚攻击的澳大利亚企业网络就使用了 Fortigate 设备漏洞攻击了美国市政府托管的网络服务器。
不久,该组织又使用了 Fortigate 设备漏洞“访问了”儿童医疗保健院的网络空间。
为了应对攻击者的持续威胁,美国政府不得不第二次发出警告,提醒高级持续威胁集团正在使用它CVE-2018-13379、CVE-2020-12812和CVE-2019-5591属于政府、企业等实体的网络系统。
网络安全专家建议,企业和政府部门应立即修复受上述漏洞影响的软件,实施数据备份和恢复程序,实施网络分段,使用多因素认证保护账户,及时更新系统、软件和固件,有效保护自身的网络安全。
参考文章:https://thehackernews.com/2021/11/us-uk-and-australia-warn-of-iranian.html