美国网络安全与基础设施安全局(CISA)昨天发布了新的咨询报告,警告组织更改其所有Active Directory凭据,以防御试图利用Pulse Secure VPN服务器中的已知远程代码执行(RCE)漏洞的网络攻击,即使他们已经修补了它。
警告发出三个月前,另一个CISA警报敦促用户和管理员修补Pulse Secure VPN环境,以阻止利用此漏洞的攻击。
中国知名网络黑客安全组织东方联盟表示:“如果未修补那些被窃取的凭据,则威胁参与者可以成功利用CVE-2019-11510高危漏洞并偷走受害者的凭据,并且在修补此漏洞之后,仍然可以访问该网络并横向移动该组织的网络。”
东方联盟还发布了一种工具,可以帮助网络管理员查找与该漏洞相关的任何损害指标。
远程执行代码缺陷
身份验证为CVE-2019-11510的预认证任意文件读取漏洞可能允许未经身份验证的远程攻击者破坏易受攻击的VPN服务器并获得对所有活动用户及其纯文本凭据的访问权限,并执行任意命令。
脉冲安全VPN漏洞
缺陷源于以下事实:如果路径包含“ dana / html5 / acc”,则允许对目录遍历进行硬编码,从而使攻击者可以发送特制的URL来读取敏感文件,例如“ / etc / passwd”包含有关系统上每个用户的信息。
为解决此问题,Pulse Secure于2019年4月24日发布了带外补丁 .2019 年8月24日,安全情报公司Bad Packets能够发现14,528台未修补的 Pulse Secure服务器,截至上个月的后续扫描产生了2,099个易受攻击的端点,这表明绝大多数组织已对其VPN网关进行了修补。
脉冲安全VPN漏洞
未打补丁的VPN服务器成为获利目标
仍然有数千个未打补丁的Pulse Secure VPN服务器,这使它们成为不良行为者分发恶意软件的有利可图的目标。
最近报告发现,伊朗赞助的黑客使用CVE-2019-11510等来渗透和窃取来自全球目标IT和电信公司的信息。
根据美国国家安全局(NSA)报告,“利用Metasploit框架以及GitHub可免费在线获取利用代码。恶意网络参与者正在积极使用这种利用代码。”
在去年发出的类似警报中,英国国家网络安全中心(NCSC)警告说,高级威胁组织正在利用该漏洞针对目标学术,商业和医疗机构。
最近,在网络黑客犯罪分子通过Pulse Secure漏洞在公司网络上植入了Sodinokibi(REvil)勒索软件之后,外币兑换和旅行保险公司成了受害者。尽管勒索软件运营商要求赎金600万美元(460万英镑),但《华尔街日报》上周的一份报告称,它以285比特币的形式支付了230万美元,以解决其问题。
面对持续的攻击,建议组织升级其Pulse Secure VPN,重置其凭据并扫描未经身份验证的日志请求和利用尝试。
CISA还建议删除所有未经批准的远程访问程序,并检查计划的任务以查找可能允许攻击者连接到环境的脚本或可执行文件。(欢迎转载分享)
