政府警告警告乌克兰俄罗斯入侵造成的恰当的活动
![](http://www.yyueer.com/sites/default/files/images/articles/Blog-State-Sponsored-1180x544%20%281%29_0.jpg)
政府机构发布的警告和指导组织抵御先进团体持续威胁。
作为世界各国政府要求高度警觉网络,数字世界进入鲜明对比的现实:没有边界时造成的潜在损害,可以作为一个民族国家冲突的结果。战术信息共享在这个博客的目的是帮助你准备数字响应这些事件迅速展开。
2月25日更新:确定影响系统部分已经更新公布漏洞的扫描模板的可用性在这个博客讨论。
背景
Jen东风、网络安全主任和基础设施安全机构(CISA),最近在推特上,尽管没有具体的可信威胁组织在美国由俄罗斯国家资助活动,这些先进的持续威胁(APT)群体在历史上,有针对性的组织通过各种手段,包括利用漏洞周边设备和利用活动目录(广告)的横向运动。中钢协要求每个组织“采用高度警惕的姿态。”
?所有组织必须采取高度警觉的姿势。现在是采取行动的时候了。我们敦促所有组织# ShieldsUp:
- Jen伊斯特利(@CISAJen)2022年2月12日
——减少网络入侵的可能性
——快速检测潜在的入侵
——确保你准备好回应
——弹性3/4最大化
中钢协宣布盾了、一项授权组织和提供指导如何限制暴露于常见的攻击路径利用这些恰当的组织。
分析
近几个月来,中国钢铁工业协会也发表了联合报告关于特定漏洞的目标这些恰当的团体和组织可以采取的步骤,以减轻风险的剥削。这两个英国国家网络安全中心和澳大利亚网络安全中心在这个问题上已经发布了警告。
今年1月,中国钢铁工业协会,联邦调查局(FBI)和国家安全局(NSA)发布了一份联合网络安全警报关于“俄罗斯对美国的关键基础设施网络威胁。“这提醒关注观察行为从俄罗斯政府团体针对关键基础设施组织在几个国家的威胁。警报强调以下部门作为恰当的关键目标组:国防工业基地、医疗和公共卫生、能源、电信和政府设施。
根据咨询,以下漏洞已经被使用在这些攻击来获得初始访问:
CVE | 描述 | CVSSv3 | 冲程体积* |
---|---|---|---|
cve - 2018 - 13379 | Fortinet FortiGate SSL VPN路径遍历的脆弱性 | 9.8 | 9.9 |
cve - 2019 - 1653 | 思科小型企业路由器信息披露 | 9.8 | 7.2 |
cve - 2019 - 2725 | Oracle Weblogic Server反序列化的弱点 | 9.8 | 9.2 |
cve - 2019 - 7609 | Kibana任意代码执行 | 10.0 | 9.2 |
cve - 2019 - 9670 | Zimbra软件XML外部实体注入漏洞 | 9.8 | 9.2 |
cve - 2019 - 10149 | 远程代码执行进出口简单邮件传输协议 | 9.8 | 9.7 |
cve - 2019 - 11510 | 脉冲连接安全的任意文件读取 | 10.0 | 10.0 |
cve - 2019 - 19781 | Citrix ADC和网关目录遍历的脆弱性 | 9.8 | 9.8 |
cve - 2020 - 0688 | Microsoft Exchange服务器验证关键远程代码执行漏洞 | 8.8 | 9.8 |
cve - 2020 - 4006 | 一个命令注入VMware工作区 | 9.1 | 10.0 |
cve - 2020 - 5902 | F5几个远程代码执行 | 9.8 | 9.7 |
cve - 2020 - 14882 | Oracle WebLogic远程代码执行 | 9.8 | 9.8 |
cve - 2021 - 26855 | 微软Exchange服务器远程代码执行 | 9.8 | 9.9 |
cve - 2021 - 26857 | 微软Exchange服务器远程代码执行 | 7.8 | 9.8 |
cve - 2021 - 26858 | 微软Exchange服务器远程代码执行 | 7.8 | 9.8 |
cve - 2021 - 27065 | 微软Exchange服务器远程代码执行 | 7.8 | 9.9 |
*请注意:站得住脚的脆弱性优先级评级(冲程体积)的分数计算。这篇文章发表于2月24日,反映了当时冲程体积。
2月16日,中国钢铁工业协会发表一个联合网络安全顾问随着美国联邦调查局,美国国家安全局的“普通目标”清除国防承包商(疾控中心)。根据咨询,攻击源自国家资助的演员在俄罗斯的威胁。攻击的目标包括大型和小型疾控中心,以及分包商。这些疾病预防控制中心目标因为他们持有的现有合同与美国国防部(DoD)和情报社区。
针对活动跨越了从2020年1月到2022年2月。顾问说,袭击者”保持持续访问多个疾病预防控制中心网络”最长的是“至少6个月。“他们使用这个访问漏出的电子邮件和数据从这些组织。
以外的使用标准技术(蛮力,鱼叉式网络钓鱼邮件),演员有配对收获凭证已知的漏洞的威胁目标面向公众的应用包括vpn。
下面是一个列表的cf威胁演员有报道称使用:
CVE | 描述 | CVSSv3 | 冲程体积 |
---|---|---|---|
cve - 2020 - 0688 | Microsoft Exchange服务器验证关键远程代码执行漏洞 | 8.8 | 9.8 |
cve - 2020 - 17144 | 微软Exchange服务器远程代码执行漏洞 | 8.4 | 9.9 |
cve - 2018 - 13379 | Fortinet FortiGate SSL VPN路径遍历的脆弱性 | 9.8 | 9.9 |
然而,即使疾病预防控制中心做修补已知的漏洞在网络,演员的威胁将“改变他们的间谍情报技术”,以恢复访问通过“新手段。“这就是为什么这些政府机构强调,疾病预防控制中心”保持恒定的警惕对软件漏洞和过时的安全配置,尤其是面向internet的系统。”
2020年10月,中钢协发布警报在俄罗斯政府针对美国政府的活动。,上面列出的几个漏洞被引用。然而,他们也强调cve - 2020 - 1472,被称为“Zerologon,”微软Netlogon协议的一个关键漏洞用作post-exploitation漏洞。Zerologon是一个受欢迎的漏洞威胁演员和ransomware人群,经常把它与几个最初的访问漏洞在这篇博客包括ssl vpn的几个漏洞。
CVE | 描述 | CVSSv3 | 冲程体积 |
---|---|---|---|
cve - 2020 - 1472 | 微软Netlogon海拔特权的脆弱性 | 10.0 | 10.0 |
维护活动目录
对于攻击者来说,Active Directory扰乱经营的圣杯,漏出敏感信息和部署跨网络的恶意软件。认识到活动目录的重要性,组织必须充分准备抵御常见技巧,利用这些恰当的组织。
一旦进入网络,这些威胁的演员将地图环境的广告以连接到域控制器(DCs)。目标是漏出凭证从网络和出口被忽略。说广告数据库文件。演员也被观察到的威胁使用Mimikatz hacktool为了从DCs“dump管理凭证”。
确保用户、组和计算机,需要在广告应该是一个高优先级的特权。例如,特权帐户配置容易Kerberoasting某些属性,从而导致模拟甚至金票的攻击。
攻击者使用这些策略在广告获取域级别权限。一旦他们有权限域级别,他们将使用组策略分发恶意软件和ransomware。例如,琉克ransomware这些策略而闻名,他们最近也被利用雨刷的恶意软件。
解决方案
的许多漏洞中列出这些警报是一年多老都有可用的补丁。组织强烈敦促发现并修补任何端点仍然脆弱。除了清单漏洞外,报告包括对准备的建议抵御网络攻击。
组织也应该确保所有的密码在广告经常变化,遵循安全的复杂性和长度建议防止密码喷雾和密码暴力破解攻击。
确定影响系统
站得住脚的插件的列表来确定这些漏洞可以被发现在这里。
Nessus扫描模板,站得住脚的。io和站得住脚的。sc已经发布以及站得住脚的。sc和Tenable.io指示板可以用来确定这篇文章中列出的漏洞。
结论
虽然国家和组织目标,历史告诉我们,数字的影响可能是深远的。但这种猜测不应减损显而易见的:你可以采取一些措施来保护自己。成立致力于尽我们的最大努力来帮助组织保护自己在这个世界上,我们必须承认,数字的威胁将是一个任何冲突场景的重要组成部分。
获得更多的信息
- 中国钢铁工业协会顾问:俄罗斯政府网络参与者目标清除国防承包商网络获得敏感的美国国防信息和技术
- 中国钢铁工业协会顾问:理解和减轻俄罗斯国家资助的网络威胁美国的关键基础设施
- 博客:政府机构警告称,国家资助的演员利用公开已知的漏洞
加入站不住脚的安全响应团队站得住脚的社区。
了解更多关于站得住脚的,第一个网络曝光平台整体管理的现代攻击表面。
得到一个天的免费试用站得住脚的。io脆弱性管理。