信息来源：安全牛

近日，FBI 在一次安全警报中表示，有国家（伊朗）黑客利用 Pulse Secure VPN 服务器的严重漏洞，破坏了美国市政府和美国金融公司的网络。

美国网络安全和基础设施安全局 (CISA) 于 1 月 10 日警告企业，修补其 Pulse Secure VPN 服务器以防止利用漏洞 CVE-2019-11510 的攻击。

该漏洞使未经身份验证的远程攻击者可以发送特制的 URI，以连接到易受攻击的服务器并读取包含用户凭据的敏感文件，并在后继的攻击阶段用于控制组织的系统等。

在未打补丁的系统上，该漏洞允许无有效用户名和密码的人远程连接到公司网络，关闭多因素身份验证控制，远程查看纯文本日志（包括 Active Directory 帐户和缓存的密码）。

美国多家机构实体遭到入侵

FBI 表示，自 2019 年 8 月以来，身份不明的威胁行为者已使用 CVE-2019-11510 安全漏洞 “入侵著名的美国实体机构”，包括一家金融机构和一个市政府网络。

在 2019 年 8 月，攻击者通过利用未修补 CVE-2019-11510 漏洞的服务器来访问美国一家金融机构的研究网络。

在同一个月内，攻击者利用相同漏洞的攻击破坏了美国市政政府网络。

根据 FBI 的报道，针对和破坏美国市政府网络的攻击发生在 2019 年 8 月中。这次攻击中，攻击者能够枚举和泄露用户的帐户、主机配置信息和会话标识符，从而使他们能够进一步访问内部网络。目前，联邦调查局正在继续收集对该事件的失陷指标。

根据两次攻击中使用的战术，技术和程序 (TTP) 的复杂程度，FBI 认为，身份不明的国家黑客参与了这两次攻击；但是，尚不清楚是否是孤立事件。

FBI 称，成功地针对 CVE-2019-11510 漏洞的攻击案例不仅限于上述两家机构。尚未正式确认的被攻击机构还包括国际货币兑换平台 Travelex，该公司在未修补其 Pulse Secure VNP 服务器后于12月3日遭到 Sodinokibi 勒索软件的攻击，攻击者要求提供 300 万美元的赎金。

Travelex 在 2019 年 9 月就接到了服务器脆弱性警告，但是直到被勒索软件也没有做出回应或者修补漏洞。

PulseSecure 首席市场官 Scott Gordon (CISSP) 告诉媒体，攻击者正在通过利用 VPN 接口的交互提示向用户尝试分发和激活勒索软件，利用 “未打补丁的VPN服务器传播恶意软件 REvil (Sodinokibi)。”

可能是伊朗黑客

尽管 FBI 并未将这些攻击直接与伊朗支持的黑客联系起来，但在一天后分享的详细介绍伊朗网络战术和技术的私密行业通知 (PIN) 中却提到：信息表明伊朗黑客已尝试利用常见漏洞 (CVE) 2019-11510。

FBI 评估了自 2019 年末以来发生的 VPN 服务器漏洞攻击，发现其波及广泛，已影响到美国和其他国家的许多部门。

漏洞缓解措施和安全建议

FBI 建议美国市政当局仔细阅读国家安全局 (NSA) 的 VPN 漏洞缓解建议，采取以下措施来防御针对与市政网络域的潜在攻击，包括 “管理紧急服务、交通或选举的本地基础结构”：

• 警惕并立即安装供应商发布的补丁程序，尤其是面向 Web 的设备；
• 阻止或监视上述恶意IP地址以及其他在特殊时间段进行远程登录的 IP 地址；
• 在将升级后的设备重新连接到外部网络之前，请重置凭据。
• 撤消并创建新的 VPN 服务器密钥和证书；
• 使用多因素身份验证作为密码的补充安全性措施；
• 查看帐户列表，以确保对手没有创建新帐户；
• 在适当的地方实施网络分段；
• 确保无法从 Internet 访问管理 Web 界面。