面對國家級駭客組織網路攻擊不斷,美國政府為了因應相關威脅,持續公布這些駭客最常利用的漏洞,要求並呼籲當地組織與企業盡速修補這些已知漏洞,避免遭受同樣的攻擊手法,近日對中國駭客攻擊電信業者與網路供應商攻擊鎖定的設備漏洞清單,他們予以公開,呼籲使用設備的業者須盡速修補,由於臺美關係密切,因此這也是國內相關業者必須關注與採取行動的資安情報。
網路設備已知漏洞修補持續被忽視,導致中國駭客經常利用
相關消息最初來自美國網路安全及基礎設施安全局(CISA),他們在6月7日發布AA22-158A警告,說明中國政府支持的駭客組織,持續利用已知漏洞,企圖攻擊電信業者與網路服務供應商。
而在最近這次的聯合網路安全公告,由美國國安局(NSA)、網路安全及基礎設施安全局、聯邦調查局(FBI)共同發布,公告內容顯示,中國駭客經常尚未修補的已知漏洞,來危害網路裝置,像是小型企業及家用路由器,或是NAS裝置,並將這些設備充當命令與控制 (C2)流量的附加接入點,或是充當對其他實體設備網路入侵的中繼站。
電信與網路服務供應業者必須了解:這些網路裝置在過去幾年來出現的重大漏洞,使這些基礎設備變成易受攻擊的目標,也讓駭客有機可乘,對方能夠定期利用與存取資安漏洞。然而,實際上,這些網路裝置卻經常被防禦者忽視,忘記定期更新相關漏洞修補。
根據NSA、CISA、FBI自2020年以來的發現,由中國政府支持的駭客大規模鎖定已知漏洞來攻擊,由於這些都是已經公開並發布修補的已知漏洞,因此攻擊者從坊間就可找到攻擊程式,以入侵企業使用的VPN服務或對外的應用程式,也就是說,攻擊者只要在受害組織更新其系統之前採取行動,而無需使用駭客自身的惡意程式,即可快速利用公開確定的安全漏洞。
而這些中國駭客也會利用多種手法來混淆視聽,以避免被追蹤,像是透過被入侵的伺服器來當作跳板,並會不斷發展與調整策略來繞過防禦。最值得注意的是,他們經常混合使用將自身開發的工具,以及公開可用的工具,特別是利用網路環境中原有的工具,藉由融入網路的噪音或正常活動,來掩蓋其活動。
在這次公布的名單中,近年中國駭客攻擊電信業與網路服務供應商時,最常鎖定並利用的漏洞,主要是10家網路設備商的16個安全漏洞,這些漏洞現身的時間從2018年到2021年不等,CISA強調,做好基本修補工作就能預防普遍駭客入侵。建議上,就基本原則來看,包括:盡可能以最快速度將漏洞修補,關閉不需要的連接埠與協定,替換產品生命週期結束的基礎設施,以及導入集中化漏洞修補管理系統。
特別的是,CISA也說明中國駭客的攻擊流程,首先,他們使用開源工具進行偵察與漏洞掃描,像是透過RouterSploit、RouterScan來識別製造商、型號與已知漏洞。
一旦入侵電信業與網路服務供應商並獲得初步立足點,並識別RADIUS伺服器後,將從中獲取存取SQL資料庫的憑證,並利用SQL命令將憑證轉儲(Dump)。之後使用這些憑證與自動化腳本工具,透過SSH對這些路由器進行身分驗證,並儲存了執行命令的輸出,以蒐集路由器當前配置等資訊,並嘗試竊取相關資料,再運用Network Boundary Bridging、Automated Exfiltration: Traffic Duplication的攻擊技術手法,將流量從網路中轉移到攻擊者控制的基礎設施。完成配置更改後,攻擊者將修改或刪除本地Log紀錄檔案,以混淆其存在並規避檢測。
此外,中國駭客還會利用PuTTY Link(Plink)等命令列工具,在內部主機與租用的VPS虛擬主機之間建立SSH通道,並檢查受害設備與網際網路連接的情況。
中國駭客針對網路設備最常利用的16大已知漏洞
產品業者 | CVE漏洞編號 | 漏洞型態 |
Cisco | CVE-2018-0171 | 遠端程式碼執行(RCE) |
Cisco | CVE-2019-15271 | 遠端程式碼執行(RCE) |
Cisco | CVE-2019-1652 | 遠端程式碼執行(RCE) |
Citrix | CVE-2019-19781 | 遠端程式碼執行(RCE) |
DrayTek | CVE-2020-8515 | 遠端程式碼執行(RCE) |
D-Link | CVE-2019-16920 | 遠端程式碼執行(RCE) |
Fortinet | CVE-2018-13382 | 身分驗證繞過 |
MikroTik | CVE-2018-14847 | 身分驗證繞過 |
Netgear | CVE-2017-6862 | 遠端程式碼執行(RCE) |
Pulse | CVE-2019-11510 | 身分驗證繞過 |
Pulse | CVE-2021-22893 | 遠端程式碼執行(RCE) |
QNAP | CVE-2019-7192 | 特權提升 |
QNAP | CVE-2019-7193 | 遠端注入 |
QNAP | CVE-2019-7194 | XML路由迂迴攻擊 |
QNAP | CVE-2019-7195 | XML路由迂迴攻擊 |
Zyxel | CVE-2020-29583 | 身分驗證繞過 |
資料來源:CISA,iThome整理,2022年6月 |
在2022年6月7日,美CISA、NSA與FBI針對中國駭客組織攻擊與威脅,發布新的資安公告,指出中國政府支持的駭客組織持續利用已知漏洞,企圖攻擊電信業者與網路服務供應商。
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-11-20