国家安全局(NSA),网络安全和基础设施安全局(CISA)和联邦调查局(FBI)共同发布了一个名为Cybersecurity顾问俄罗斯SVR目标美国和联盟网络,揭示俄罗斯外国情报服务(SVR)开采五项公知漏洞。咨询执行摘要读:
俄罗斯外国情报局(SVR)的演员,也被称为APT29、Cozy Bear和the Dukes频繁使用公开已知的漏洞,对脆弱的系统进行广泛的扫描和利用,以获得认证证书,并利用这些证书获得进一步访问。这种瞄准和利用包括美国和盟国的网络,包括国家安全和政府相关系统。
网络安全咨询中的显着提及
与咨询一起发布是美国政府的正式归属SolarWinds供应链妥协,以及与俄罗斯相关的网络间谍活动。
提到了SVR最近的活动,包括通过Wellmess Malware通过NSA公开的VMware漏洞定位网络。
漏洞
NSA,CISA和FBI正在鼓励组织检查其与五种漏洞相关的妥协指标的网络。
公开披露的计算机安全漏洞列于常见的漏洞和公开(CVE)数据库中。其目标是使其更容易跨单独的漏洞功能(工具,数据库和服务)共享数据。
谘询文件列出了以下的专业培训机构:
- cve - 2018 - 13379这里讨论:Fortinet FortiGate VPN
- cve - 2019 - 9670这里讨论:Synacor Zimbra协作套件
- cve - 2019 - 11510这里讨论:脉冲安全脉冲连接安全VPN
- cve - 2019 - 19781这里讨论:Citrix应用程序交付控制器和网关
- CVE-2020-4006这里讨论:VMware Workspace ONE Access
我们已添加到供应商的网站中的链接,在那里他们讨论漏洞以及您可以在哪里找到如何修补它们的位置。正如您所看到的大多数都是很旧的(CVE ID中的前四位数字是CVE发布的那个年份)和补丁已经可用于相当长的时间。
一般缓解战略
虽然某些漏洞具有特定的额外缓解,但您可以在上面列表中链接的项目中阅读,咨询给我们以下一般减轻:
- 自许多演员利用众多漏洞以后,在释放修补程序后,请保持系统和产品更新和补丁。
- 在设备被打补丁之前,由于数据被窃取或修改(包括凭据、帐户和软件)而产生的风险不会通过打补丁或简单的补救措施得到缓解。假设会发生入侵,强制执行最低权限访问,并定期修改密码和检查帐户。
- 禁用外部管理功能并设置带外管理网络。
- 阻止已过时或未使用的网络边缘协议,并在设备配置中禁用它们。
- 在网络非军事区(DMZ)中隔离面向互联网服务,以减少内部网络的曝光。
- 启用面向internet的服务的健壮日志记录和认证功能。持续地寻找漏洞或凭证误用的迹象,特别是在云环境中。
- 采取妥协发生的心态;准备事故响应活动,只对带外渠道的违规行为沟通,并在修复之前小心揭示违规的全部范围。
技术
SVR参与者所使用的技术包括:
- 利用公开的应用程序.对手可能试图利用面向internet的计算机或程序的弱点,使用软件、数据或命令,以造成意想不到的或不可预期的行为。
- 利用外部远程服务.对手可以利用外观外部远程服务,以便最初访问和/或持续存在于网络中。远程服务如VPN,Citrix和其他访问机制(特别是RPD)允许用户从外部位置连接到内部企业网络资源。
- 影响供应链.对其在收到最终消费者之前可以操纵产品或产品送货机制,以便数据或系统妥协的目的。
- 使用有效的帐户.对手可以获取和滥用现有帐户的凭证,作为获取访问或提升权限的手段。
- 利用软件进行凭据访问.对手可能会在尝试收集凭据时利用软件漏洞。
- 建立网络凭据: SAML令牌。如果对手拥有有效的SAML令牌签名证书,那么他们可以伪造具有任何权限声明和生存期的SAML令牌。
对于许多阅读本文的人来说,缓和和技术列出的项目可能并不新鲜,但它们提醒人们,安全,即使是针对单一国家行为者,往往是把一些重要但平凡的事情一遍又一遍地做好的问题。
保持安全,每个人!
评论