APT 利用 VPN 產品和 Zerologon 漏洞攻擊美國政府網絡

美國政府對新發現的APT攻擊發出警告，這些攻擊利用了VPN產品和最近披露的Zerologon漏洞。

來自美國聯邦調查局和網絡安全與基礎設施安全局(CISA)的聯合警報顯示，政府和非政府目標在這次行動中受到了攻擊。

它警告說，訪問聯邦、州、地方、部落和地區（SLTT）政府網絡可能會使選舉信息處于危險之中，盡管沒有證據表明這些數據已經被泄露，或者攻擊者的最終目的是竊取這些數據。

“CISA知道有多種情況，其中利用了Fortinet FortiOS Secure Socket Layer (SSL) VPN漏洞CVE-2018-13379來訪問網絡。在較小程度上，CISA還觀察到威脅參與者利用MobileIron漏洞CVE-2020-15505。盡管最近已經發現了這些漏洞，但這項活動仍在進行中，并且仍在繼續，”警告指出。

“獲得初始訪問權限后，行動者利用 CVE-2020-1472 Zerologon破壞所有Active Directory（AD）身份服務。然后，已經觀察到使用合法的遠程訪問工具（例如VPN和遠程桌面協議（RDP））來使用具有受損憑據的環境來訪問Actor。觀察到的活動針對多個部門，而不僅限于SLTT實體。”

CISA警告說，利用Juniper（CVE-2020-1631），Pulse Secure（CVE-2019-11510），Citrix NetScaler（CVE-2019-19781）和Palo Alto Networks（CVE-2020-2021）產品中的類似錯誤，可能會利用這些漏洞與Zerologon鏈接以達到相同的結果。

Zerologon已由Microsoft于8月份修復，被認為非常重要，以至于CISA在9月發布了一項緊急指令，要求所有民政部門修補此錯誤。