cve - 2019 - 11510:关键脉冲连接安全漏洞用于Sodinokibi Ransomware攻击

最近皮疹ransomware攻击是利用一个8个月大的缺陷在流行的SSL VPN解决方案所使用的大型组织和各国政府。

背景

1月4日,安全研究员凯文·博蒙特(@GossiTheDog)观察到两个“引人注目的事件”脆弱的安全套接字层(SSL)虚拟专用网(VPN)的解决方案是使用违反两个组织和安装目标ransomware。

新我:脉冲安全VPN缺陷被用来提供针对性ransomware大型组织https://t.co/h4rrzbPOWG

——凯文·博蒙特(@GossiTheDog)2020年1月4日

在他的博客,博蒙特说这个漏洞被用来访问脆弱的网络,紧随其后的是一个类似的模式:获取域管理员访问,安装虚拟网络计算(VNC)使用PsExec横向运动,禁用端点安全工具和安装Sodinokibi ransomware,也称为Sodin或REvil。

斯科特•戈登首席营销长脉冲安全,有关博蒙特的博客发表了以下声明:

“威胁演员将利用的漏洞报告脉冲安全,Fortinet和帕洛阿尔托VPN产品,在这种情况下,利用应用补丁的VPN服务器传播恶意软件,REvil (Sodinokibi),通过分配和激活Ransomware VPN界面的交互提示用户试图访问资源通过修改,脆弱的脉冲VPN服务器。”

分析

脉冲安全漏洞

cve - 2019 - 11510是一个关键的任意文件披露漏洞在脉冲连接安全,从脉冲安全SSL VPN解决方案。剥削的弱点很简单,这就是为什么它收到了10.0评级使用普通危险得分系统(CVSS)。这一缺陷可能会允许一个偏远,未经身份验证的攻击者从脆弱的端点获取用户名和密码明文。

而脉冲安全发出"补丁漏洞2019年4月,获得更多的关注在概念证明(PoC)的缺陷2019年8月公布。PoC被释放后不久,报告开始浮出水面攻击者是探索脆弱的端点和试图利用这一缺陷。

当时,特洛伊Mursch,研究总监坏包,确认超过14500个脉冲脆弱的安全的VPN端点这个缺陷。Mursch一直通知组织修补缺陷影响的同时也在Twitter上发布每周报告的扫描结果脆弱的端点。根据从2020年1月3日最近的扫描结果,Mursch检测到3825个端点仍然脆弱,有超过1300的端点居住在美国。

Sodinokibi Ransomware (REvil)

Sodinokibi(或REvil)首次出现在2019年4月利用零日攻击利用的一部分未经身份验证的远程代码执行漏洞在Oracle WebLogic认定cve - 2019 - 2725。进一步的研究在2019年7月发现Sodinokibi也利用cve - 2018 - 8453Win32k海拔特权缺陷,研究人员称之为“ransomware罕见。”

Sodinokibi一直与的创造者GandCrab ransomware2019年5月,关闭其业务获得20亿美元的赎金后支付。

打猎Ransomware

使用术语“打猎”引用Crowdstrike博客从2018年关于电子犯罪集团被称为INDRIK蜘蛛从银行木马旋转目标ransomware攻击使用BitPaymer ransomware。“大游戏”组件是指威胁演员转向“目标、容量、高回报”的活动。

Sodinokibi而言,这一策略似乎已经卓有成效。安全研究人员Rik Van女警至少7例Sodinokibi ransomware感染2020年前六天要求超过1000万美元的基础上分析了恶意软件样本,这凸显出有多少潜在价值在这些打猎ransomware攻击。

REvil开始强烈,要求一些严重的现金。我们正在做一个博客描述它有多么坏,希望月底推出。

cc@GossiTheDogpic.twitter.com/0Katzxd7aW

- rik van女警(@rikvduijn)2020年1月6日

虽然Sodinokibi一直与各种漏洞上面所提到的,重要的是要注意,ransomware一般通过各种传播方法,包括应用补丁的软件漏洞,恶意电子邮件和暴露远程桌面系统。

概念验证

第一个PoC发表了cve - 2019 - 115108月20日公布开发数据库安全研究人员Alyssa埃雷拉和贾斯汀瓦格纳。也有多个poc来识别和/或利用cve - 2019 - 11510发布到GitHub库。

解决方案

如前所述,脉冲安全发布的补丁cve - 2019 - 11510在2019年4月。如果您的组织利用脉冲连接安全的在您的环境中,这是最重要的,你尽快。此外,因为Sodinokibi使用cve - 2018 - 8453,这也是非常重要的,以确保适当的安全更新2018年10月从微软的补丁周二已经应用。

确定影响系统

站得住脚的插件的列表来确定可以找到这个漏洞在这里,包括直接利用检查,确定为插件ID 127897。

获得更多的信息

• 凯文·博蒙特的博客大赛Ransomware利用cve - 2019 - 11510
• "咨询多个脉冲连接安全漏洞
• 特洛伊Mursch脉冲安全的VPN端点的博客14500脆弱
• 思科塔洛斯的博客Sodinokibi Ransomware利用cve - 2019 - 2725
• 卡巴斯基的博客上Sodinokibi Ransomware使用cve - 2018 - 8453

加入站不住脚的安全响应团队站得住脚的社区。

了解更多关于站得住脚的,第一个网络曝光平台整体管理的现代攻击表面。

得到一个天的免费试用站得住脚的。io脆弱性管理。