La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a averti que les réseaux gouvernementaux ont été ciblés dans des attaques exploitant la vulnérabilité Zerologon en combinaison avec des failles affectant les produits Fortinet et MobileIron.

«Cette récente activité malveillante a souvent, mais pas exclusivement, été dirigée contre les réseaux gouvernementaux fédéraux et étatiques, locaux, tribaux et territoriaux (SLTT). Bien qu’il ne semble pas que ces cibles soient sélectionnées en raison de leur proximité avec les informations électorales, il peut y avoir un certain risque pour les informations électorales hébergées sur les réseaux gouvernementaux », a déclaré CISA dans un avis rédigé avec des contributions du FBI.

Il a ajouté: «CISA est au courant de certains cas où cette activité a abouti à un accès non autorisé aux systèmes de soutien aux élections; cependant, la CISA n’a aucune preuve à ce jour que l’intégrité des données électorales a été compromise.

Selon CISA, les attaques, qui semblent en cours, impliquaient dans de nombreux cas l’exploitation de CVE-2018-13379, une vulnérabilité Fortinet FortiOS VPN, et dans certains cas CVE-2020-15505, un problème récemment détaillé affectant l’appareil mobile de MobileIron. solutions de gestion (MDM).

Ces failles de sécurité ont été exploitées par des acteurs malveillants pour obtenir un accès initial au réseau ciblé, puis ils ont utilisé Zerologon pour augmenter les privilèges et compromettre les services d’identité Active Directory. CISA a décrit les attaquants comme des «acteurs de l’APT».

Alors que les attaques repérées par les agences américaines impliquaient les vulnérabilités Fortinet et MobileIron, les organisations ont été averties que les attaquants pourraient également exploiter les failles des produits Citrix, Pulse Secure, Palo Alto Networks et F5 Networks dans le même but.

La vulnérabilité Zerologon, officiellement suivie sous le nom CVE-2020-1472, est un problème d’élévation de privilèges affectant Windows Server. Il permet à un attaquant ayant accès au réseau ciblé de pirater le domaine …

Voir la source de cette publication