포스팅 내용

국내외 보안동향

해커들, VPN 취약점 악용하여 미 정부 선거 지원 시스템에 접근해

Hackers used VPN flaws to access US govt elections support systems

 

정부 지원을 받는 해커들이 VPN 취약점과 최근 발견된 윈도우 보안 취약점인 CVE-2020-1472를 악용하여 미국의 선거 지원 시스템을 해킹하여 접근한 것으로 나타났습니다.

 

CISAAPT 공격자가 이 취약점 체인 전략을 통해 연방 정부 및 주 지방(SLTT: state, local, tribal, and territorial) 정부 네트워크, 선거 조직, 중요 인프라를 노리고 있다고 경고했습니다.

 

선거 지원 시스템 해킹돼

 

CISAFBI에서 공동 발표한 보안 권고에서는 아래와 같이 언급했습니다.

 

공격자의 타깃이 선거 관련 정보에 가까이 접근 가능하기 때문에 선택된 것 같지는 않습니다. 하지만 정부 네트워크에 저장된 선거 정보에 약간의 위험을 초래할 가능성이 있는 것으로 보입니다.”

 

이 활동을 통해 선거 지원 시스템에 무단으로 접근된 사례가 일부 발생되었습니다.”

 

그러나 CISA가 설명한 것처럼 이 APT 공격자들이 선거 데이터의 무결성을 손상시킬 수 있을 것이라는 증거는 아직까지 없습니다.

 

이 시스템에 접근하기 위해 공격자는 Fortinet FortiOS Secure Socket Layer (SSL) VPNCVE-2018-13379 취약점을 통해 인터넷 서버를 악용하거나, MobileIron Unified Endpoint Management (UEM)CVE-2020-15505 취약점을 통해 모바일 기기에서 초기 액세스 권한을 얻었습니다.

 

그 후 공격자는 CVE-2020-1472 (Zerologon 취약점)을 악용합니다. 이 취약점은 윈도우 Netlogon 인증 프로토콜에 존재하며, 악용에 성공할 경우 공격자가 도메인 관리자로 권한을 상승시킬 수 있습니다. 이로써 공격자는 전체 도메인을 제어하여 사용자의 비밀번호를 변경할 수 있습니다.

 

이후 공격자가 VPN, RDP와 같은 정식 원격 접속 툴을 사용해 해킹한 자격 증명으로 환경에 액세스한 것을 관찰했습니다.”

 

관찰된 활동에서는 지방 정부 기관 뿐 아니라 여러 부문을 노렸습니다.”

 

지난 주, 마이크로소프트는 이란의 지원을 받는 해킹 그룹인 MERCURY (MuddyWater, SeedWorm, TEMP.Zagros로도 알려짐)Zerologon 취약점을 활발히 악용 중이라 경고했습니다.

 

향후 공격에 악용될 수 있는 VPN 버그

 

APT 해커들은 네트워크 접근 권한을 얻기 위해 FortiOS SSL VPN 웹 포털 취약점인 CVE-2018-13379를 악용했지만, CISA는 패치되지 않은 인터넷 연결 네트워크 엣지 기기들 모두 이러한 공격을 받을 수 있다고 경고했습니다.

 

CISA는 인터넷에 노출된 네트워크 인프라 내 알려진 취약점을 즉시 패치할 것을 권고했습니다.

 

또한 APT 공격자가 정부, 중요 인프라 네트워크에서 초기 접근 권한을 얻기 위해 가장 많이 악용할 수 있는 취약점으로 아래 목록을 꼽았습니다.


- Citrix NetScaler (CVE-2019-19781)


- MobileIron (CVE-2020-15505)


- Pulse Secure (CVE-2019-11510)


- Palo Alto Networks (CVE-2020-2021)


- F5 BIG-IP (CVE-2020-5902)

 

지난 9, 마이크로소프트는 러시아, 중국, 이란의 APT 공격자들이 2020년 미국 선거를 노리고 있다고 경고했습니다.

 

이달 초, CISA는 미국의 여러 주 및 지방 정부를 노리는 Emotet 공격이 증가한다고 경고하기도 했습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/hackers-used-vpn-flaws-to-access-us-govt-elections-support-systems/

https://us-cert.cisa.gov/ncas/alerts/aa20-283a


티스토리 방명록 작성
name password homepage