cve - 2019 - 11510:关键脉冲连接安全漏洞用于Sodinokibi Ransomware攻击
最近皮疹ransomware攻击是利用一个8个月大的缺陷在流行的SSL VPN解决方案所使用的大型组织和各国政府。
背景
1月4日,安全研究员凯文·博蒙特(@GossiTheDog)观察到两个“引人注目的事件”脆弱的安全套接字层(SSL)虚拟专用网(VPN)的解决方案是使用违反两个组织和安装目标ransomware。
新我:脉冲安全VPN缺陷被用来提供针对性ransomware大型组织https://t.co/h4rrzbPOWG
——凯文·博蒙特(@GossiTheDog)2020年1月4日
在他的博客,博蒙特说这个漏洞被用来访问脆弱的网络,紧随其后的是一个类似的模式:获取域管理员访问,安装虚拟网络计算(VNC)使用PsExec横向运动,禁用端点安全工具和安装Sodinokibi ransomware,也称为Sodin或REvil。
斯科特•戈登首席营销长脉冲安全,有关博蒙特的博客发表了以下声明:
“威胁演员将利用的漏洞报告脉冲安全,Fortinet和帕洛阿尔托VPN产品,在这种情况下,利用应用补丁的VPN服务器传播恶意软件,REvil (Sodinokibi),通过分配和激活Ransomware VPN界面的交互提示用户试图访问资源通过修改,脆弱的脉冲VPN服务器。”
分析
脉冲安全漏洞
cve - 2019 - 11510是一个关键的任意文件披露漏洞在脉冲连接安全,从脉冲安全SSL VPN解决方案。剥削的弱点很简单,这就是为什么它收到了10.0评级使用普通危险得分系统(CVSS)。这一缺陷可能会允许一个偏远,未经身份验证的攻击者从脆弱的端点获取用户名和密码明文。
而脉冲安全发出"补丁漏洞2019年4月,获得更多的关注在概念证明(PoC)的缺陷2019年8月公布。PoC被释放后不久,报告开始浮出水面攻击者是探索脆弱的端点和试图利用这一缺陷。
当时,特洛伊Mursch,研究总监坏包,确认超过14500个脉冲脆弱的安全的VPN端点这个缺陷。Mursch一直通知组织修补缺陷影响的同时也在Twitter上发布每周报告的扫描结果脆弱的端点。根据从2020年1月3日最近的扫描结果,Mursch检测到3825个端点仍然脆弱,有超过1300的端点居住在美国。
Sodinokibi Ransomware (REvil)
Sodinokibi(或REvil)首次出现在2019年4月利用零日攻击利用的一部分未经身份验证的远程代码执行漏洞在Oracle WebLogic认定cve - 2019 - 2725。进一步的研究在2019年7月发现Sodinokibi也利用cve - 2018 - 8453Win32k海拔特权缺陷,研究人员称之为“ransomware罕见。”
Sodinokibi一直与的创造者GandCrab ransomware2019年5月,关闭其业务获得20亿美元的赎金后支付。
打猎Ransomware
使用术语“打猎”引用Crowdstrike博客从2018年关于电子犯罪集团被称为INDRIK蜘蛛从银行木马旋转目标ransomware攻击使用BitPaymer ransomware。“大游戏”组件是指威胁演员转向“目标、容量、高回报”的活动。
Sodinokibi而言,这一策略似乎已经卓有成效。安全研究人员Rik Van女警至少7例Sodinokibi ransomware感染2020年前六天要求超过1000万美元的基础上分析了恶意软件样本,这凸显出有多少潜在价值在这些打猎ransomware攻击。
REvil开始强烈,要求一些严重的现金。我们正在做一个博客描述它有多么坏,希望月底推出。
- rik van女警(@rikvduijn)2020年1月6日
cc@GossiTheDogpic.twitter.com/0Katzxd7aW
虽然Sodinokibi一直与各种漏洞上面所提到的,重要的是要注意,ransomware一般通过各种传播方法,包括应用补丁的软件漏洞,恶意电子邮件和暴露远程桌面系统。
概念验证
第一个PoC发表了cve - 2019 - 115108月20日公布开发数据库安全研究人员Alyssa埃雷拉和贾斯汀瓦格纳。也有多个poc来识别和/或利用cve - 2019 - 11510发布到GitHub库。
解决方案
如前所述,脉冲安全发布的补丁cve - 2019 - 11510在2019年4月。如果您的组织利用脉冲连接安全的在您的环境中,这是最重要的,你尽快。此外,因为Sodinokibi使用cve - 2018 - 8453,这也是非常重要的,以确保适当的安全更新2018年10月从微软的补丁周二已经应用。
确定影响系统
站得住脚的插件的列表来确定可以找到这个漏洞在这里,包括直接利用检查,确定为插件ID 127897。
获得更多的信息
- 凯文·博蒙特的博客大赛Ransomware利用cve - 2019 - 11510
- "咨询多个脉冲连接安全漏洞
- 特洛伊Mursch脉冲安全的VPN端点的博客14500脆弱
- 思科塔洛斯的博客Sodinokibi Ransomware利用cve - 2019 - 2725
- 卡巴斯基的博客上Sodinokibi Ransomware使用cve - 2018 - 8453
加入站不住脚的安全响应团队站得住脚的社区。
了解更多关于站得住脚的,第一个网络曝光平台整体管理的现代攻击表面。
得到一个天的免费试用站得住脚的。io脆弱性管理。