美国、英国等国家纷纷发出严重警告,称微软和飞塔的漏洞正在“滥用”MicrosoftExchangeProxyShell中的漏洞。攻击者利用该漏洞获得对受害者系统的初始访问权限后,便开始窃取数据并部署勒索软件。漏洞“泛滥”,不少部门深受其害。根据美国网络安全与基础设施安全局(CISA)、联邦调查局(FBI)、澳大利亚网络安全中心(ACSC)和英国国家网络安全中心(NCSC)后来表示,攻击者利用的FortinetFortiOS漏洞和影响MicrosoftExchange服务器的远程代码执行漏洞可以追溯到2021年3月。黑客利用的漏洞列表如下:CVE-2021-34473(CVSS得分:9.1)-MicrosoftExchangeServer远程代码执行漏洞(又名“ProxyShell”);CVE-2020-12812(CVSS分数:9.8)-FortiOSSSLVPN2FA,通过更改用户名大小写绕过的漏洞;CVE-2019-5591(CVSS评分:6.5)--FortiGate,默认配置不验证LDAP服务器身份;CVE-2018-13379(CVSS评分:9.8)——通过特制HTTP资源请求;通过SSLVPN泄露FortiOS系统文件。据TheHackerNews等媒体披露,此次网络攻击受害者众多,其中澳大利亚多家机构和美国多个关键基础设施部门遭到严重破坏。漏洞破坏力如此之大,专家建议立即“扼杀”它们。CISA、FBI等部门的网络安全专家分析了攻击者近期的活动,发现该组织异常活跃。2021年5月,利用Fortigate设备漏洞对美国市政府托管的网络服务器发起网络攻击。此后不久,该组织利用Fortigate设备中的漏洞“获得了”对儿童医疗机构网络空间的访问权限。针对攻击者的持续威胁,美国政府不得不第二次发出警告,提醒高级持续威胁组织正在利用CVE-2018-13379、CVE-2020-12812、CVE-2019-等漏洞5591破坏企业等实体的网络系统。网络安全专家建议,企业和政府部门应立即为受上述漏洞影响的软件打上补丁,实施数据备份和恢复程序,实施网络隔离,使用多重身份验证保护账户,及时更新系统、软件和固件。及时处理,切实保障自身网络安全。参考文章:https://thehackernews.com/2021/11/us-uk-and-australia-warn-of-iranian.html
