美国国防承包商遭到黑客攻击,正在积极利用PulseSecure零日漏洞(全球身份验证)来秘密访问属于美国国防工业和一系列其他组织的网络。安全公司Mandiant在4月20日发布的一份报告中表示,至少有一个被利用的漏洞是零日漏洞。这意味着当黑客开始积极利用它时,PulseSecure的开发人员和大多数研究人员很难检测到。除了发现的CVE-2021-228930day之外,多个黑客组织还在利用已在2019年和2020年修复的多个PulseSecure漏洞。UnderSiege研究人员表示,Mandiant迄今已确定12个恶意软件组织正在利用Pulse安全虚拟专用网络。这些团伙都绕过身份验证并从后门访问设备。但这些团伙并没有联系,都是在单独的调查中发现的。因此,研究人员认为应该有多名黑客利用该漏洞进行攻击。无论是单独利用还是团伙利用,这些漏洞都可能允许攻击者绕过保护VPN设备的单因素和双因素身份验证,从而允许黑客安装恶意软件。即使用户升级VPN并通过webshel??l保持访问权限,恶意软件仍然存在。此外,Mandiant发布的报告还提到,在过去6个月里,全球范围内的国防、政府和金融机构遭受了多次入侵。此外,美国网络安全和基础设施安全局表示,此次攻击的目标还包括美国政府机构、关键基础设施实体和其他私营部门组织。Mandiant提供了以下图表,显示了各种身份验证绕过和日志访问的流程。Mandiant表示,它依靠“有限的证据”发现了一个名为UNC2630的组织,这是已知积极利用这些漏洞的两个黑客组织之一。另一个是新组,Mandiant称之为UNC2717。3月,该组织使用Mandiant的名为RADIALPULSE、PULSEJUMP和HARDPULSE的恶意软件攻击一家欧洲机构的PulseSecure系统。由于目前缺乏背景和取证证据,Mandiant无法将本报告中描述的所有代码系列与UNC2630或UNC2717联系起来。其中一位还指出,一个或多个相关团体可能负责这些不同工具的开发和传播,这些工具散布在松散的APT参与者之间。除了UNC2630和UNC2717之外,可能还有其他小组采用了这些工具中的一种或多种。两年的不安全在过去的两年里,PulseSecure的母公司Ivanti发布了针对一系列PulseSecure漏洞的补丁,这些漏洞不仅可以让远程攻击者无需用户名或密码即可获得访问权限,还可以关闭多-factor身份验证并以明文形式查看VPN服务器缓存的日志、用户名和密码。之前针对外币兑换和旅游保险公司Travelex的勒索软件攻击很可能是由于这些漏洞造成的,因为该公司没有安装补丁。Mandiant报告中同样令人担忧的是,报告中指出的高度敏感地区的组织仍未打补丁。此外,PulseSecure零日漏洞已被披露并被积极利用。PulseSecure于4月20日发布了一份公告,指导用户如何缓解当前未修补的安全漏洞。Mandiant的报告还包括许多技术指标,组织可以使用这些指标来确定他们的网络是否已成为破坏的目标。目前,任何在其网络中使用PulseSecure的组织都应优先阅读并遵循Mandiant和PulseSecure的建议,以避免遭受黑客攻击。
