O Federal Bureau of Investigation (FBI, na sigla em inglês) e a Cybersecurity and Infrastructure Security Agency (CISA, na sigla em inglês) dos Estados Unidos emitiram comunicado conjunto na última sexta-feira (9) afirmando que um grupo de hackers invadiu algumas redes governamentais por meio de falhas de segurança em sistemas eletrônicos. O acesso às redes foi possível pela combinação de bugs de VPN e do Windows.
De acordo com o comunicado, os ataques tiveram como alvo redes governamentais federais e estaduais, locais, tribais e territoriais. Invasões em redes não governamentais também foram identificadas. O documento ainda levantou possível relação dos ataques com a aproximação das eleições presidenciais nos Estados Unidos.
Malicious cyber actors are exploiting legacy vulnerabilities against SLTT, Critical Infrastructure, and Elections Organizations. Read our joint advisory with the @FBI for technical details and recommended actions: https://t.co/FDbCpPdNbV #InfoSec #InfoSecurity #Protect2020 pic.twitter.com/D2Clny9zUI
— Cybersecurity and Infrastructure Security Agency (@CISAgov) October 10, 2020
“A CISA está ciente de alguns casos em que esta atividade resultou em acesso não autorizado a sistemas de apoio às eleições; no entanto, a CISA não tem evidências até o momento de que a integridade dos dados eleitorais tenha sido comprometida”, relata o alerta de segurança.
“Embora pareça que esses alvos não estejam sendo selecionados por causa de sua proximidade com as informações eleitorais, pode haver algum risco para os dados armazenados nas redes do governo”, acrescentaram as autoridades.
As falhas
Segundo o comunicado, os ataques exploraram duas falhas nos sistemas do governo americano. Conhecida como CVE-2018-13379, a primeira vulnerabilidade encontra-se no Fortinet FortiOS Secure Socket Layer (SSL, na sigla em inglês) VPN, um servidor VPN local projetado para ser utilizado como um caminho seguro para acessar redes corporativas de locais remotos. Esta falha específica permite que hackers carreguem arquivos maliciosos em sistemas não corrigidos, deste modo, assumindo os servidores.
Já a segunda lacuna é chamada de CVE-2020-1472, também conhecida como Zerologon. Trata-se de uma vulnerabilidade no Netlogon, o protocolo usado por estações de trabalho Windows para autenticar um Windows Server executado como um controlador de domínio. A falha abre caminho para que invasores assumam controle de domínio por meio de dados de usuários de servidores. Desta forma, eles conseguem obter controle total de redes internas e corporativas, onde também encontram senhas de todas as estações de trabalho conectadas no sistema.
Para a invasão, hackers combinaram duas falhas já conhecidas. Créditos: Gorodenkoff/Shutterstock
A CISA e o FBI argumentam que com a combinação destas duas falhas, pessoas alheias aos sistemas conseguem sequestrar os servidores Fortinet e assumir o controle das redes internas usando o Zerologon. “Atores foram então observados usando ferramentas legítimas de acesso remoto, como VPN e Remote Desktop Protocol (RDP, na sigla em inglês), para acessar o ambiente com as credenciais comprometidas”, destacaram as agências.
Cabe frisar que o comunicado também pediu para que entidades governamentais atualizem seus sistemas, pois já há patches que possuem a correção das falhas.
Fonte: ZDNet