黑客团体已经开始利用本月早些时候公开的漏洞来发动针对目标的攻击。
攻击已经在本周开始,已经看到了针对Webmin的攻击,这是一个基于Web的实用程序,用于管理Linux和* NIX系统,还有企业VPN产品,如Pulse Secure和
Fortinet的FortiGate。所有这三种类型的攻击都同样危险,因为它们针对企业网络中的设备,并允许攻击者完全控制受攻击的系统。毫不夸张地说,本周针对
Webmin,Pulse Secure和Fortinet FortiGate的攻击是今年最糟糕的一次,不是因为数量,而是因为它们所针对的系统的敏感性。
WEBMIN攻击
这些攻击中的第一次是在星期二开始的,也就是在Webmin发布主要后门的消息后的第二天。
在攻击者破坏属于Webmin开发人员的服务器之后,在Webmin源代码中创建了后门,在被发现之前它已被隐藏了一年多。
安全研究人员在DEF CON安全会议上详细介绍了漏洞(后来证明是后门),攻击者开始针对此漏洞进行扫描。
根据威胁情报公司Bad Packets,目前有几个参与者正在利用Webmin漏洞,其中一个是名为Cloudbot的物联网僵尸网络的所有者。
建议Webmin管理员更新v1.930,以保护他们的系统免受CVE-2019-15107(RCE漏洞/后门)的影响。
Webmin团队声称互联网上有超过一百万个活跃的Webmin安装。从Sourceforge下载的1.882到1.921之间的所有Webmin版本都很脆弱; 但是,在v1.890中,后门默认是活动的。据BinaryEdge称,有29,000台Webmin服务器连接到互联网,运行这个特定版本,占据了巨大的攻击面。
此外,破坏这些目标还允许攻击者访问通过这些Webmin安装管理的所有Linux、FreeBSD和OpenBSD服务器,允许攻击者对数百万其他端点和服务器发起攻击。
PULSE SECURE和FORTIGATE VPN攻击
截至上周五,攻击者还开始利用另一组漏洞,这也是在安全会议上披露的 – 但这次是在Black Hat。
这些漏洞是一个名为“渗透企业内部网(如NSA:pre-auth rce on leading ssl vpn)”的演讲的一部分,该演讲包含了有关多个企业VPN产品中大量安全漏洞的详细信息。
然而,这些攻击并没有针对谈话中详述的所有VPN产品。他们只瞄准了两个目标,即Pulse Secure VPN和Fortinet的Fortigate VPN。
攻击者更有可能使用8月9日博客文章中包含的技术细节和概念验证代码,Devcore是两位黑帽主持人工作的公司,作为准备攻击的起点。
此博客文章包含上述两种VPN产品中各种漏洞的详细信息和演示代码。但是,攻击者只选择了其中两个漏洞,即CVE-2019-11510(影响Pulse Secure)和CVE-2018-13379(影响FortiGate)。
两者都是“预身份验证文件读取”,这意味着一种漏洞可以允许黑客从目标系统检索文件而无需进行身份验证。
根据相同的Bad Packets和Twitter上的其他研究人员,黑客正在扫描互联网上的易受攻击的设备,然后他们正在从Fortinet的FortiGate的Pulse Secure VPN和VPN会话文件中检索系统密码文件。有了这两个文件,攻击者可以在设备上进行身份验证或伪造活动的VPN会话。
在周末的博客文章中,Bad Packets表示在线有近42,000个Pulse Secure VPN系统,其中近14,500个尚未修补。
对于这两种产品,补丁已存在数月,其中Pulse将于4月发布,而Fortinet将于5月发布。FortiGate VPN的数量也被认为是数十万,尽管没有关于仍然容易受到攻击的未修补系统数量的确切统计数据。
无论哪种方式,建议此类设备的所有者尽快修补。这些是昂贵的企业级VPN产品,在通常不需要它们的地方找不到它们,这意味着它们通常可以保护对高度敏感网络的访问。
例如,来自Bad Packets的安全研究人员表示他们在以下网络上确定了Pulse Secure VPN:
美国军方,联邦,州和地方政府机构,公立大学和学校,医院和医疗保健提供者,主要金融机构,众多财富500强企业。
漏洞就像它们可以获得的一样糟糕。Pulse Secure试图通过将安全漏洞评为10分中的10分来向客户强调这个问题,然而,四个月之后,许多客户都未能修补。
此外,更糟的是,武器化的概念验证代码现在可以在网上的多个地方免费提供。
