原始发行日期:2021年4月15日|修订日期:2021年4月16日
CISA,国家安全局(NSA)和联邦调查局(FBI)发布了有关俄罗斯外国情报服务(SVR)参与者的联合网络安全咨询(CSA),这些参与者正在扫描和利用漏洞来破坏美国和相关网络,包括国家安全和政府相关系统。
具体来说,SVR参与者正在针对和利用以下漏洞:
- CVE-2018-13379 Fortinet FortiGate VPN
- CVE-2019-9670 Synacor Zimbra协作套件
- CVE-2019-11510脉冲安全脉冲连接安全VPN
- CVE-2019-19781 Citrix应用程序交付控制器和网关
- CVE-2020-4006 VMware Workspace ONE访问
此外,白宫还发布了一份声明,正式将这项活动和SolarWinds供应链损害归咎于SVR参与者。 CISA更新了以下产品来反映这种归属:
- 警报AA20-352A:政府机构,关键基础设施和私营部门组织的APT危害
- 警报AA21-008A:在Microsoft云环境中检测威胁后期的威胁活动
- 警报AA21-077A:使用CHIRP IOC检测工具检测威胁后期的威胁活动
- 恶意软件分析报告AR21-039A:MAR-10318845-1.v1-SUNBURST
- 恶意软件分析报告AR21-039B:MAR-10320115-1.v1-TEARDROP
- 表:SolarWinds和Active Directory / M365的危害-从已知的TTP检测APT活动
- 修复受SolarWinds和Active Directory / M365危害网页影响的网络
- 紧急指令21-01:缓解SolarWinds Orion代码妥协
CISA强烈建议用户和管理员查看联合CSA:俄罗斯SVR针对美国和联合网络的SVR策略,技术和程序以及缓解策略。
提供此产品时要遵守本通知以及本隐私和使用政策。