根据美国网络安全官员的说法,与中国国家安全部(MSS)有关的攻击者在对联邦政府机构和企业进行的最近入侵尝试中,利用了最近披露的流行网络和VPN设备中的漏洞。
攻击背景
这些攻击是中国团体长期以来的活动的一部分,美国官员表示,这些团体已经直接为MSS工作或在其指导下超过10年。在周一发布的警报中,网络安全和基础设施安全局(CISA)表示,MSS关联的团队正在针对F5 BIG-IP网络设备中的关键漏洞,以及Citrix和Pulse Secure VPN中公开披露的漏洞。尽管这些漏洞的详细信息已经公开很长时间,并且所有三种设备的补丁也已可用,但攻击者仍在针对尚未升级的组织。
漏洞利用情况
自6月30日F5公司披露其漏洞(CVE-2020-5902)后,针对该漏洞的攻击几乎立即开始。CISA表示,它已响应多个涉及成功利用该漏洞的政府机构和企业的事件。
“CISA分析师持续观察到在重大漏洞出现和披露后的几天内,针对、扫描和探测的活动。这种针对、扫描和探测经常导致复杂的网络威胁行为者的入侵。在某些情况下,网络威胁行为者利用相同的漏洞入侵多个行业的组织。组织似乎没有像网络威胁行为者那样快速缓解已知漏洞。”——CISA警报
VPN产品的安全隐患
MSS关联的攻击者还针对Pulse Secure和Citrix VPN产品中的严重漏洞。VPN一直是攻击者的热门目标,但今年大规模转向远程工作的趋势导致VPN使用量大幅增加,从而引起了攻击者的更多关注,因为VPN设备可以成为对手进入企业网络的理想切入点。
“CISA在联邦政府和商业实体中进行了多次事件响应,其中威胁行为者利用了影响Pulse Secure VPN设备的任意文件读取漏洞(CVE-2019-11510)来获得对受害者网络的访问。尽管Pulse Secure在2019年4月发布了CVE-2019-11510的补丁,但CISA观察到在受害组织修补其VPN设备后几个月,仍然有被盗的Active Directory凭证被利用。”——CISA建议
政府赞助的攻击组
国家赞助的攻击组通常与使用先进工具和技术以及零日漏洞利用相关。虽然许多团体在必要时确实会采用这些战术,但攻击者通常会选择阻力最小的路径。CISA表示,最近几个月它观察到的中国国家赞助团体的活动,主要包括使用公开可用的信息、漏洞、工具和技术。
“在使用这些数据源时,CISA分析师观察到漏洞公开发布与针对被识别为脆弱系统的扫描之间的相关性。这种相关性表明,网络威胁行为者还依赖Shodan、CVE数据库、NVD和其他开放源信息来识别机会目标并规划网络操作。”——CISA建议
结论
CISA在新警告中描述的活动与美国政府和执法机构已跟踪一段时间的团体有关。今年7月,司法部披露了两名与MSS合作的中国公民因对美国政府和私人组织的攻击而被联邦大陪审团起诉。
注意: 为了保护您的网络安全,建议使用可靠的VPN服务来防止潜在的攻击。选择一个快速连接的VPN产品,确保您的在线活动安全无忧。
