Aanvallers combineren kwetsbaarheden in verschillende vpn- en netwerkproducten met de recent gepatchte Zerologon-kwetsbaarheid in Windows Server om Amerikaanse overheidsinstanties aan te vallen, zo waarschuwen de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het ministerie van Homeland Security.
Via de kwetsbaarheid in het Netlogon-onderdeel van Windows Server kan een aanvaller domeinbeheerdertoegang krijgen. Om de kwetsbaarheid te kunnen misbruiken moet een aanvaller wel eerst toegang tot een systeem hebben. Daarvandaan is het vervolgens mogelijk om via het lek domeinbeheerder te worden en zo volledige controle over het netwerk te krijgen.
Voor die eerste stap maken aanvallers gebruik van verschillende bekende kwetsbaarheden in Fortinet FortiOS VPN (CVE-2018-13379), Citrix NetScaler (CVE-2019-19781), F5 Big-IP (CVE-2020-5902), Pulse Connect Secure / Policy Secure (CVE-2020-11510), MobileIron Core / Sentry / Monitor and Reporting Database (CVE-2020-15505), Juniper Junos OS (CVE-2020-1631) en Palo Alto Networks PAN-OS (CVE-2020-2021).
Volgens de FBI en het CISA zouden de aanvallers voornamelijk van het Fortinet FortiOS VPN-lek gebruikmaken. Zodra de aanvallers via deze kwetsbaarheid of één van de andere beveiligingslekken toegang hebben gekregen zetten ze het Zerologon-lek in om rechten te verhogen en toegang tot de Windows Active Directory-servers te krijgen. Om vervolgens toegang tot de systemen te behouden maken de aanvallers misbruik van legitieme inloggegevens voor vpn- of remote toegangsdiensten.
Aangezien voor alle genoemde kwetsbaarheden al enige tijd beveiligingsupdates beschikbaar zijn adviseren de FBI en het CISA om systemen up-to-date te houden. In het geval van een succesvolle aanval waarbij het Zerologon-lek is gebruikt raden de Amerikaanse overheidsinstanties aan om een uitgebreide reset van accounts uit te voeren en een geheel nieuw "Active Directory forest" uit te rollen. Een Active Directory forest bevat domeinen, gebruikers, computers en group policies.
Het CISA heeft een nieuwe versie van het document uitgebracht waarin het laat weten dat de eerder genoemde kwetsbaarheden in Citrix NetScaler, MobileIron, Pulse Secure, Palo Alto Networks en F5 BIG-IP niet bij de nu waargenomen campagne zijn aangevallen, maar wel kunnen worden gebruikt om netwerktoegang te krijgen. In het overzicht van "exploited CVEs" worden deze partijen nog steeds genoemd.
Deze posting is gelocked. Reageren is niet meer mogelijk.