Для атак на правительственные сети проблему Zerologon объединяют с VPN-уязвимостями

13.10.2020 20:02

Для атак на правительственные сети проблему Zerologon объединяют с VPN-уязвимостями

Рекомендуем почитать:

Xakep #257. Pivoting

Содержание выпуска
Подписка на «Хакер»

Представители ФБР и Агентства по кибербезопасности и защите инфраструктуры, организованного при Министерстве внутренней безопасности США (DHS CISA) опубликовали предупреждение, согласно которому хакеры получают доступ к правительственным сетям, комбинируя уязвимость Zerologon (CVE-2020-1472) с различными багами в VPN-продуктах. Сообщается, что уже были обнаружены атаки на правительственные и неправительственные сети.

«CISA известно о ряде случаев, когда подобная деятельность приводила к несанкционированному доступу к системам поддержки выборов. Однако на сегодняшний день у CISA нет доказательств того, что целостность этих данных была нарушена», — гласит предупреждение.

По данным правоохранителей, в ходе таких атак злоумышленники эксплуатируют как минимум две уязвимости: CVE-2018-13379 и CVE-2020-1472.

Первая проблема (CVE-2018-13379) была обнаружена в составе Fortinet FortiOS Secure Socket Layer (SSL) VPN, локальном VPN, который обычно используется в качестве безопасного шлюза для доступа к корпоративным сетям из удаленных мест. Вторая проблема (CVE-2018-13379) позволяет злоумышленникам загружать вредоносные файлы на незащищенные системы и захватывать VPN-серверы Fortinet.

Что касается уязвимости Zerologon, напомню, что она опирается на слабый криптографический алгоритм, используемый в процессе аутентификации Netlogon. Проблему назвали Zerologon, так как атака осуществляется через добавление нулей в определенные аутентификационные параметры Netlogon. В результате баг позволяет злоумышленнику манипулировать аутентификацией, а именно:

выдать себя за любой компьютер в сети в ходе аутентификации на контроллере домена;
отключить защитные механизмы в процессе аутентификации Netlogon;
изменить пароль компьютера в Active Directory контроллера домена.

CISA и ФБР объясняют, что хакеры комбинируют эти уязвимости, начиная с захвата серверов Fortinet, а затем переходя к захвату внутренней сети с помощью Zerologon.

Также эксперты предупредили, что помимо багов в продуктах Fortinet хакеры могут использовать любые другие уязвимости в VPN-решениях и шлюзах, ведь таких багов в последнее время было обнаружено немало. Достаточно вспомнить следующие проблемы: