美英等國發出嚴重警告,微軟、Fortinet的漏洞正在被“濫用”
美國、英國和澳大利亞等國的網絡安全機構發布聯合聲明,稱疑似受伊朗政府資助的攻擊者,正在積極利用Fortinet和Microsoft Exchange ProxyShell的漏洞。
攻擊者利用漏洞獲得受害者系統初始訪問權限后,開始竊取數據和部署勒索軟件。
漏洞“泛濫”多部門慘遭其害
據美國網絡安全和基礎設施安全局(CISA)、聯邦調查局(FBI)、澳大利亞網絡安全中心(ACSC)和英國國家網絡安全中心(NCSC)對受害網絡系統分析后稱,攻擊者利用的Fortinet FortiOS漏洞和影響微軟Exchange服務器的遠程代碼執行漏洞,可追溯到2021年3月。
黑客利用的漏洞清單如下:
- CVE-2021-34473(CVSS評分:9.1)--微軟Exchange服務器遠程代碼執行漏洞(又名 "ProxyShell");
- CVE-2020-12812 (CVSS評分:9.8) - FortiOS SSL VPN 2FA,通過改變用戶名大小寫繞過的漏洞;
- CVE-2019-5591(CVSS評分:6.5)--FortiGate,默認配置未驗證LDAP服務器身份;
- CVE-2018-13379(CVSS評分:9.8)--通過特制的HTTP資源請求;通過SSL VPN泄露FortiOS系統文件。
根據The Hacker News等媒體披露,遭受網絡攻擊的受害者眾多,其中受損嚴重的有澳大利亞的多家組織和美國多個關鍵基礎設施部門。
漏洞破壞力強大,專家建議立刻“扼殺”
CISA和FBI等部門的網絡安全專家通過分析攻擊者近期活動,發現該組織異常活躍,不僅利用FortiOS 漏洞“訪問”易受攻擊的澳大利亞部分企業網絡,早在2021年5月就已經利用 Fortigate 設備漏洞,對美國市政府托管的網絡服務器展開了網絡攻擊。
此事不久,該組織又利用 Fortigate 設備漏洞“訪問了”一家兒童醫療保健院的網絡空間。
為應對攻擊者的持續性威脅,美國政府不得不第二次發布警告,提醒高級持續性威脅集團正在利用CVE-2018-13379、CVE-2020-12812和CVE-2019-5591等漏洞破壞屬于政府和企業等實體的網絡系統。
網絡安全專家建議企業、政府部門應立即修補受上述漏洞影響的軟件,執行數據備份和恢復程序、實施網絡分段、使用多因素認證保護賬戶,及時更新系統、軟件和固件,切實保護好自身網絡安全。
參考文章:https://thehackernews.com/2021/11/us-uk-and-australia-warn-of-iranian.html
