美国国家安全局、联邦调查局警告:黑客正在利用这些漏洞攻击vpn和网络设备

我们与您保持联系

美国国家安全局、联邦调查局警告:黑客正在利用这些漏洞攻击vpn和网络设备

修补这些被国家支持的攻击者利用的网络设备缺陷.

美国警告称,为中国工作的黑客一直在利用网络设备中公开的缺陷,作为更广泛攻击的一部分,窃取和操纵网络流量.

美国国家安全局(国家安全局), 美国联邦调查局(FBI)和OD真人官网与基础设施安全局(CISA)列出了包括思科在内的10个品牌的网络设备软件中的16个缺陷, Forti网, 美国网件公司, MikroTik, 脉冲安全, 以及在2018年至2021年期间公开披露的思杰. 大多数的缺陷被认为是严重的.

自2020年以来,这些漏洞是由中华人民共和国(PRC)支持的黑客最常利用的漏洞, 根据这些机构.

“自2020年以来, 中国政府支持的网络行动者开展了广泛的行动,以迅速利用公开识别的安全漏洞,这些机构警告说.

“只要在受害者组织更新系统之前,黑客就可以利用公开可用的攻击虚拟专用网(VPN)服务或面向公众的应用程序的漏洞代码进入受害者的账户,而无需使用他们自己独特或可识别的恶意软件。.”

该警告涉及攻击利用漏洞影响小型企业路由器, NAS存储设备, 和企业vpn. 但这些机构也详细描述了大型电信公司和网络服务提供商使用的专门认证服务器的扫描活动和妥协.

像小型企业路由器和NAS设备这样的网络设备充当额外的访问点,路由参与者的命令和控制(C2)流量.

中国支持的威胁行为者还利用路由器的开源软件利用框架来扫描面向互联网设备的漏洞.

妥协的电信公司, 攻击者识别出关键的远程身份验证拨号用户服务(RADIUS)服务器,然后使用SQL命令从服务器的底层数据库转储用户和管理凭证. RADIUS是一种广泛支持的认证网络协议标准, 授权, 对接入网络的用户进行计费管理.

使用来自目标RADIUS服务器的凭据, 然后,参与者使用Cisco和Juniper路由器的自定义自动化脚本,通过SSH (Secure Shell)验证到受影响的路由器,并执行路由器命令. 参与者保存了这些命令的输出, 包括单独的路由器配置, 然后把信息转移到他们自己的基础设施中.

已获得路由器配置以及有效的帐户和凭证, 攻击者可以操纵目标网络内的流量,并从中窃取流量.

“网络行动者可能使用了额外的脚本来进一步自动化利用中型到大型受害者网络, 路由器和交换机数量众多的地方, 收集大量的路由器配置,这些配置对于成功地操纵网络内的流量是必要的.”

"武装有效的帐户和凭证从受损的RADIUS服务器和路由器配置, 网络行动者返回网络,并利用他们的访问权限和知识,成功地认证和执行路由器命令,以秘密路由, 捕获, 然后将流量从网络中转移到用户控制的基础设施中.”

这些机构建议对受影响的设备打补丁, 从网络中移除或隔离受损设备, 取代临终硬件, 禁用不使用或不必要的服务, 港口, 协议, 和设备, 并对所有用户实施多因素身份验证, 没有例外”.

 

 

 

 

 

作者:Liam Tung,贡献者,于2022年6月8日

获取最新的更新,提供,信息 & 更多的