部分攻擊得以成功，未授權入侵者獲得“對選舉支持系統的訪問權”。

　　美國聯邦調查局（FBI）和網絡安全與基礎設施安全局（CISA）在上周五發表聯合安全警報，表示黑客正在利用VPN與Windows漏洞入侵政府網絡。

　　攻擊活動主要針對各聯邦、州、地方、郡縣以及地區（SLTT）一級政府網絡發動，部分非政府網絡也同期受到波及。

　　安全警報指出，“根據CISA掌握的情報，此輪攻擊致使攻擊者以未授權方式訪問到部分選舉支持系統；但迄今為止，尚無證據表明選舉數據的完整性受到了損害。”

　　官員們同時補充稱，“由于距離大選仍有一段時日，攻擊者似乎并沒有做出特別明確的目標選擇，但此次事件仍彰顯了存儲在政府網絡內的選舉信息所面臨的安全風險。”

　　本輪攻擊將FORTINET VPN與WINDOWS ZEROLOGON漏洞加以結合

　　根據聯合警報，此輪攻擊將CVE-2018-13379 與CVE-2020-1472兩個安全漏洞相結合并加以利用。

　　CVE-2018-13379是Fortinet FortiOS SSL VPN（一種本地VPN服務器，用于從遠程位置訪問企業網絡的安全網關）產品的一項漏洞。于去年正式披露的CVE-2018-13379允許攻擊者在未經修復的系統中上傳惡意文件，借此接管Fortinet VPN服務器。

　　CVE-2020-1472亦被稱為Zerologon，屬于Netlogon中的一項安全漏洞。Netlogon是Windows工作站作為域控制器對Windows Server進行身份驗證的重要協議。該安全漏洞使攻擊者得以接管域控制器及服務器用戶，管理整個內部/企業網絡，特別是其中所包含的全部接入工作站密碼。

　　CISA與FBI解釋稱，攻擊者將這兩個漏洞結合起來劫持Fortinet服務器，并使用Zerologon操縱并接管內部網絡。

　　雙方補充稱，“攻擊者隨后會使用合法的遠程訪問工具（例如VPN、RDP）配合竊取到的憑證訪問內部環境。”

　　聯合警報并沒有透露關于攻擊者的詳細信息，只是將其描述為“高級持續威脅（APT）行為者。”

　　網絡安全專家一般使用APT行為者來描述由國家資助的黑客組織。微軟公司上周也表示，其觀察到來自伊朗的APT Mercury（MuddyWatter）曾在最近的攻擊中利用Zerologon bug。值得注意的是，該威脅組織曾對美國政府機構開展過多起廣受關注的攻擊。

　　多VPN漏洞聯動已經成為新的攻擊趨勢與重大威脅因素

　　CISA與FBI方面建議美國各私營及公共部門實體及時更新系統以修復這兩個漏洞，相關補丁已經于幾個月前正式發布。

　　此外，CISA與FBI還警告稱，黑客完全可以將此次攻擊中的Fortinet漏洞替換為VPN及網關產品中的其他類似漏洞（相應修復補丁同樣已經發布），從而達成相同的未授權訪問效果。

　　相關漏洞包括：

　　Pulse Secure “Connect” 企業VPN （CVE-2019-11510）

　　Palo Alto Networks “Global Protect” VPN服務器 （CVE-2019-1579）

　　思杰“ADC”服務器與思杰網絡網關 （CVE-2019-19781）

　　MobileIron移動設備管理服務器 （CVE-2020-15505）

　　F5 BIG-IP 網絡均衡器 （CVE-2020-5902）

　　以上列出的所有漏洞，皆用于對企業及政府網絡邊緣部署的服務器進行“初始訪問”。這些漏洞也都可以輕松與Zerologon Windows漏洞相結合，借此實施與此次Fortinet VPN + Zerologon類似的入侵攻擊。