Grupos APT usam VPN e Windows Zerologon bugs para atacar redes do governo dos EUA

Views: 134
0 0
Read Time:4 Minute, 7 Second

As redes do governo dos EUA estão sob ataque, atores de ameaças acorrentaram falhas da VPN e do Windows Zerologon para obter acesso não autorizado a sistemas de apoio às eleições.

O Federal Bureau of Investigation (FBI) e a Agência de Segurança cibernética e infraestrutura (CISA) publicaram um alerta conjunto de segurança para alertar sobre os invasores que combinam falhas de VPN e Windows Zerologon para atingir redes governamentais.

Segundo especialistas do governo, os ataques direcionados às redes governamentais federais e estaduais, locais, tribais e territoriais (SLTT), as agências também relataram ataques contra redes não governamentais.

O alerta não forneceu detalhes sobre os atacantes, apenas os classifica como “atores de ameaça persistente avançada (APT), uma circunstância que sugere o envolvimento de hackers patrocinados pelo Estado.

“A CISA está ciente de alguns casos em que essa atividade resultou em acesso não autorizado a sistemas de apoio às eleições; no entanto, a CISA não tem evidências até o momento de que a integridade dos dados das eleições tenha sido comprometida”, diz o alerta de segurança publicado pelas duas agências.

O alerta conjunto inclui informações sobre as vulnerabilidades exploradas pelos hackers e ações de mitigação recomendadas para as organizações afetadas.

As agências alertam para o risco para as eleições de informações alojadas nas redes governamentais.

De acordo com o Alert (AA20-283A), atores de ameaças persistentes avançadas (APT) estão explorando múltiplas vulnerabilidades herdadas em combinação com uma vulnerabilidade zerologon recentemente descoberta (CVE-2020-1472).

A falha do CVE-2020-1472 é uma elevação do privilégio que reside no Netlogon. O serviço Netlogon é um mecanismo de autenticação usado na Arquitetura de Autenticação do Cliente Windows que verifica solicitações de logon e registra, autentica e localiza controladores de domínio.

Um invasor poderia explorar a vulnerabilidade para se passar por qualquer computador, incluindo o próprio controlador de domínio, e executar chamadas de procedimento remoto em seu nome.

Um invasor também pode explorar a falha para desativar recursos de segurança no processo de autenticação do Netlogon e alterar a senha de um computador no Active Directory do controlador de domínio.

“A CISA observou recentemente atores avançados de ameaça persistente (APT) explorando várias vulnerabilidades de legado em combinação com uma vulnerabilidade de escalonamento de privilégios mais recente — CVE-2020-1472 — no Windows Netlogon.” lê o relatório. “A tática comumente usada, conhecida como cadeia de vulnerabilidades, explora múltiplas vulnerabilidades no curso de uma única intrusão para comprometer uma rede ou aplicativo.”

Especialistas acreditam que as metas não estão sendo selecionadas por causa de sua proximidade com informações de eleições, de qualquer forma, as agências alertam para o risco para os sistemas de eleições operados pelo governo.

“A CISA está ciente de alguns casos em que essa atividade resultou em acesso não autorizado a sistemas de apoio às eleições; no entanto, a CISA não tem evidências até o momento de que a integridade dos dados das eleições tenha sido comprometida.” Continua o alerta.

A CISA e o FBI observaram ataques realizados por atores da APT que combinaram duas falhas CVE-2018-13379 e CVE-2020-1472.

CVE-2018-13379 é uma vulnerabilidade transversal de caminho no portal web FortiOS SSL VPN que poderia ser explorado por um invasor não autenticado para baixar arquivos do sistema FortiOS, para carregar arquivos maliciosos em sistemas não enviados e assumir servidores VPN Fortinet.

Especialistas do governo explicaram que os atacantes estão combinando essas duas falhas para sequestrar servidores Fortinet e usá-los como um ponto de entrada em redes governamentais, em seguida, assumir redes internas usando a falha Zerologon para comprometer todos os serviços de identidade do Active Directory (AD).

Os atores de ameaças foram então observados usando ferramentas legítimas de acesso remoto, incluindo O Protocolo de Desktop Remoto (RDP) e VPN, para acessar o ambiente alvo com as credenciais comprometidas.

Recentemente, a Microsoft observou a APT Mercury ligada ao Irã e a gangue russa de crimes cibernéticos TA505 explorando a falha de Zerologon em ataques na natureza.

A Microsoft compartilhou publicamente alguns indicadores de arquivos para os ataques, juntamente com variações das explorações do ZeroLogon que seus especialistas detectaram. Muitas dessas explorações foram versões recompiladas de código de prova de conceito conhecido e disponível publicamente.

Tanto a CISA quanto o FBI recomendam organizações privadas e agências públicas para corrigir sistemas e equipamentos prontamente e diligentemente.

O alerta também alerta para outras vulnerabilidades que podem ser exploradas por atores de ameaças e a necessidade de corrigir sistemas vulneráveis imediatamente.

“A CISA recomenda que os funcionários e administradores da rede revisem a infraestrutura voltada para a internet para essas e vulnerabilidades semelhantes que têm ou podem ser exploradas a um efeito semelhante, incluindo Juniper CVE-2020-1631, Pulse Secure CVE-2019-11510, Citrix NetScaler CVE-2019-19781e Palo Alto Networks CVE-2020-2021 (esta lista não é considerada exaustiva).” conclui o alerta.

FONTE: SECURITY AFFAIRS

Previous post O “capitalismo de vigilância” na LGPD, por Frederico Cortez
Next post Os operadores de ransomware agora terceirizam as explorações de acesso à rede para acelerar os ataques

Deixe uma resposta