cve - 2020 - 1472:先进的持久威胁演员使用Zerologon漏洞和补丁开发链
![](http://www.yyueer.com/sites/default/files/images/articles/Banner-Blog-Research-VulnExploited2-Critical_1.jpg)
美国政府机构发行共同威胁网络安全顾问警告说,高级组一起链接漏洞获得进入政府网络和提升特权。
2020年10月13日更新:确定影响系统部分已经更新,包括细节站得住脚的Zerologon扫描模板的可用性。io,站得住脚的。sc和Nessus。
背景
10月9日,网络安全基础设施安全机构(CISA)和联邦调查局(FBI)发表一个联合网络安全顾问。咨询,确认为警报aa20 - 283 a,提供洞察先进的持续威胁(APT)演员的活动对网络与联邦政府和有关州、当地部落,和领土(SLTT)政府。警报详细信息如何恰当的演员使用漏洞链接或利用链接,将最近披露的海拔特权漏洞的攻击。
下面列出的漏洞中引用中钢协/联邦调查局联合网络安全提醒:
CVE | 供应商/产品 | CVSSv3 | 站得住脚的冲程体积* | 披露 |
---|---|---|---|---|
cve - 2019 - 11510 | 脉冲安全SSL VPN连接 | 10.0 | 10.0 | 2019年4月 |
cve - 2018 - 13379 | Fortinet FortiOS SSL VPN | 9.8 | 9.8 | 2019年5月 |
cve - 2019 - 19781 | Citrix Netscaler | 9.8 | 9.9 | 2019年12月 |
cve - 2020 - 1631 | Juniper朱诺操作系统 | 9.8 | 6.7 | 2020年4月 |
cve - 2020 - 2021 | 帕洛阿尔托网络PAN-OS | 10.0 | 10.0 | 2020年6月 |
cve - 2020 - 5902 | F5几个 | 9.8 | 9.9 | 2020年7月 |
cve - 2020 - 15505 | MobileIron | 9.8 | 9.5 | 2020年7月 |
cve - 2020 - 1472 | 微软Netlogon | 10.0 | 10.0 | 2020年8月 |
*请注意站得住脚的冲程体积分数计算。这篇文章发表在10月12日,反映了当时冲程体积。
分析
首次访问通过SSL VPN的脆弱性
根据中钢协/联邦调查局警惕,恰当的演员是“主要”使用cve - 2018 - 13379获得最初的目标环境。
cve - 2018 - 13379是一个路径遍历脆弱性Fortinet FortiOS安全套接字层(SSL)的虚拟专用网(VPN)的解决方案。2019年4月由Fortinet修补。然而,直到开发细节公之于众后2019年8月报告出现的攻击者利用它在野外。
除了该漏洞被用来获得最初的访问,中国钢铁工业协会/美国联邦调查局也观察到在较小程度上,“恰当的演员使用cve - 2020 - 15505,一个远程代码执行漏洞MobileIron的核心和连接器。
文章使用Zerologon剥削的特权
一旦APT演员获得了初步的立足点在目标环境中,他们是提升特权使用cve - 2020 - 1472,一个至关重要的海拔的脆弱性在微软的Netlogon特权。被称为“Zerologon”后最初修补漏洞声名狼藉周二发布8月微软的补丁。
9月18日,中国钢铁工业协会发布紧急指令20-04为了确保联邦文职行政部门系统打补丁的漏洞。
在野外Zerologon观察作为攻击的一部分
9月23日,微软的安全情报团队在推特上他们观察到Zerologon利用“纳入攻击剧本”作为威胁演员活动的一部分。
微软正在积极跟踪威胁演员活动使用利用cve - 2020 - 1472 Netlogon bgi的脆弱性,称为Zerologon。我们发现攻击者攻击的地方公共利用纳入剧本。
——微软安全智能(@MsftSecIntel)2020年9月24日
在后续推特10月6日,微软的安全情报小组指出一个新的活动利用cve - 2020 - 1472来自一个威胁的演员称为钦博拉索,也被称为TA505民族国家,经济动机的演员。
我们看到更多的活动利用cve - 2020 - 1472 (ZeroLogon)。新赛季精明的姿势,软件更新,连接到已知钦博拉索(TA505) C2的基础设施。假更新导致wscript UAC旁路和使用。exe运行恶意脚本。
——微软安全智能(@MsftSecIntel)2020年10月6日
中钢协/联邦调查局警告额外的漏洞成为首次访问
除了该和MobileIron漏洞发现在最近的活动,中国钢铁工业协会/美国联邦调查局警报还警告说,这些恰当的演员也可能威胁利用的漏洞来进入到他们的目标网络:
- cve - 2019 - 11510是一个任意文件披露漏洞在脉冲连接安全SSL VPN
- cve - 2019 - 19781是一个路径遍历脆弱性在Citrix应用程序交付控制器(ADC), Citrix网关和Citrix SD-WAN WANOP电器
- cve - 2020 - 1631是一个本地文件包含(LFI)脆弱性杜松的朱诺OS HTTP / HTTPS服务
- cve - 2020 - 2021是一个认证绕过漏洞的安全断言标记语言(SAML)在PAN-OS身份验证当某些先决条件得到满足
- cve - 2020 - 5902是一个路径遍历脆弱的交通管理用户界面(TMUI) F5的几个应用程序交付服务。
常绿演员在威胁的漏洞仍然很流行
的许多漏洞中引用这个关节警戒级别从中国钢铁工业协会/美国联邦调查局已经成为威胁常绿缺陷演员。中钢协的一部分十大经常利用漏洞警告,他们参考脉冲安全和Citrix ADC漏洞。
今年9月,中钢协发布了两个独立的警报(aa20 - 258 a,aa20 - 259 a),凸显了恰当的演员来自中国和伊朗是针对补丁在脉冲连接安全、Citrix ADC和F5的几个。
选举支持系统访问,但选举数据完整性完好无损
在警报aa20 - 283 a,中钢协提到他们观察活动,“选举支持系统导致未经授权的访问。“不过,他们还提到,尽管说,未经授权的访问,他们没有证据支持,“选举数据的完整性已经受到威胁。”
Zerologon需要马上修补
中钢协最新的警报和联邦调查局,再加上从其他供应商报告,清楚Zerologon似乎成为2020年的最关键的漏洞之一。
概念验证
许多概念论证(PoC)和利用脚本可用这些漏洞被公开后不久。下面是一个子集的poc和利用脚本:
CVE | 源URL |
---|---|
cve - 2018 - 13379 | GitHub |
cve - 2018 - 13379 | GitHub |
cve - 2018 - 13379 | GitHub |
cve - 2019 - 11510 | GitHub |
cve - 2019 - 11510 | GitHub |
cve - 2019 - 11510 | GitHub |
cve - 2019 - 19781 | GitHub |
cve - 2019 - 19781 | GitHub |
cve - 2019 - 19781 | GitHub |
cve - 2020 - 5902 | GitHub |
cve - 2020 - 5902 | GitHub |
cve - 2020 - 5902 | GitHub |
cve - 2020 - 15505 | GitHub |
cve - 2020 - 1472 | GitHub |
cve - 2020 - 1472 | GitHub |
cve - 2020 - 1472 | GitHub |
解决方案
补丁中引用可用于所有的漏洞联合网络安全顾问从中国钢铁工业协会和联邦调查局。大部分的漏洞补丁可供他们披露后,除了cve - 2019 - 19781,收到补丁一个月后它最初披露。
请参考下面的个人报告进一步的细节。
CVE | 补丁信息 |
---|---|
cve - 2019 - 11510 | SA44101 - 2019 - 04: "咨询:多个漏洞解决脉冲连接安全/脉冲政策安全9.0 rx |
cve - 2018 - 13379 | fg - ir - 18 - 384: FortiOS通过SSL VPN系统文件泄漏通过精雕细琢HTTP资源请求 |
cve - 2019 - 19781 | 漏洞在Citrix应用程序交付控制器、Citrix网关,Citrix SD-WAN WANOP设备 |
cve - 2020 - 1631 | 2020 - 04年周期的安全顾问:朱诺OS:安全漏洞J-Web和基于web (HTTP / HTTPS)服务 |
cve - 2020 - 2021 | PAN-OS:认证绕过SAML身份验证 |
cve - 2020 - 5902 | K52145254: TMUI远端控制设备漏洞cve - 2020 - 5902 |
cve - 2020 - 15505 | 2020年7月:MobileIron安全更新可用 |
cve - 2020 - 1472 | Netlogon海拔特权的脆弱性 |
确定影响系统
站得住脚的插件的列表来确定这些漏洞可以在这里找到:
- cve - 2019 - 11510
- cve - 2018 - 13379
- cve - 2019 - 19781
- cve - 2020 - 1631
- cve - 2020 - 2021
- cve - 2020 - 5902
- cve - 2020 - 15505
- cve - 2020 - 1472
- 所有cf的总和
Tenable.io,站得住脚的。sc和Nessus用户可以使用一个新的专门针对Zerologon扫描模板。插件140657年及其依赖项中自动启用模板,它还带有自动配置所需的设置。
获得更多的信息
- 中钢协/联邦调查局警报:恰当的演员链接漏洞
- 中钢协十大经常利用的漏洞
- 站得住脚的博客为中钢协警报aa20 - 258 a, aa20 - 259 a
- 站得住脚的博客cve - 2019 - 11510
- 站得住脚的博客cve - 2018 - 13379和cve - 2019 - 11510在野外利用
- 站得住脚的博客cve - 2019 - 11510用于Ransomware攻击
- 站得住脚的博客cve - 2019 - 19781
- 站得住脚的博客cve - 2019 - 19781利用脚本
- 站得住脚的博客cve - 2019 - 19781在野外利用
- 站得住脚的博客cve - 2020 - 2021
- 站得住脚的博客cve - 2020 - 5902
- 站得住脚的博客cve - 2020 - 1472
加入站不住脚的安全响应团队站得住脚的社区。
了解更多关于站得住脚的,第一个网络曝光平台整体管理的现代攻击表面。
得到一个天的免费试用站得住脚的。io脆弱性管理。