文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

史上最大!丹麦关键基础设施遭受网络攻击

2024-11-30 04:55

关注

据悉,威胁攻击者在 5 月 11 日发起了第一次攻击活动。经过短暂停顿后,5 月 22 日又开始发动了第二波攻击活动,当天,SektorCERT 察觉到自身出现安全问题。

SektorCERT 在报告指出,威胁攻击者利用丹麦关键基础设施运营商使用的 Zyxel 防火墙中的零日漏洞,成功破坏了 22 家能源基础设施公司(11 家公司立即遭到网络威胁)。

威胁攻击者利用漏洞发动网络攻击

2023 年 4 月 25 日,Zycel 披露其多个防火墙中存在一个关键安全漏洞(CVSS 得分 9.8 ),被追踪为 CVE-2023-28771。Zyxel 发现安全漏洞问题后,立刻发布了安全更新补丁,并敦促其客户尽快安装更新补丁。

据悉,存在安全漏洞原因是 Zyxel ZyWALL/USG 系列固件版本 4.60至 4.73、VPN 系列固件版本 4.6 至5.35、USG FLEX 系列固件版本 46.0 至 5.35 以及 ATP 系列固件版本 4600 至 5.35 中某个错误消息处理不当。从 SektorCERT 的报告内容来看,未经身份验证的远程攻击者可以通过向易受攻击的设备发送特制的数据包,并远程执行某些操作系统命令来触发该漏洞。

威胁攻击者利用漏洞,通过协议 UDP 向端口 500 发送一个特制数据包,并将其发送到易受攻击的 Zyxel 设备,该数据包被 Zyxel 设备上的互联网密钥交换(IKE)数据包解码器接收,解码器恰恰存在上述 CVE-2023-28771 漏洞。

最终的结果就是,威胁攻击者可以在未经身份验证的情况下,直接在设备上执行具有 root 权限的命令,就是说,只要向设备发送一个数据包,威胁攻击者就能发起网络攻击。此外,从11 家公司立即受到了攻击的情况来看,网络攻击者可能提前获得了受害公司防火墙的控制权,从而可以访问防火墙背后的关键基础设施。

SektorCERT 安全专家还指出,在发动网络攻击之前,威胁攻击者可能就已经掌握了受害目标的详细信息,这些信息很可能是通过未被发现的侦察活动中获取的。(值得注意的是,目前还没有关于哪些组织使用了易受攻击的防火墙的公开信息)

以下是整个攻击的网络杀伤链:

在 SektorCERT 发布的报告中,专家们指出威胁攻击者能够同时攻击多家公司,避免受影响的基础设施与同行共享攻击信息,这种“协调能力”需要计划和资源,再加上威胁行动者能够在大规模活动中利用零日漏洞,推测威胁攻击者可能是一个 APT 组织。

此外,安全专家还推测攻击活动背后的“黑手“可能是由多个威胁组织组成,其中至少有一个可以归咎于与俄罗斯有关联的”沙虫“组织。

来源:FreeBuf.COM内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯