NSA-CISA-FBI針對以美國和相關網絡為目標的俄羅斯SVR聯合諮詢

原始發行日期：2021年4月15日|修訂日期：2021年4月16日

CISA，國家安全局（NSA）和聯邦調查局（FBI）發布了有關俄羅斯外國情報服務（SVR）參與者的聯合網絡安全諮詢（CSA），這些參與者正在掃描和利用漏洞來破壞美國和相關網絡，包括國家安全和政府相關係統。

具體來說，SVR參與者正在針對和利用以下漏洞：

• CVE-2018-13379 Fortinet FortiGate VPN
• CVE-2019-9670 Synacor Zimbra協作套件
• CVE-2019-11510脈衝安全脈衝連接安全VPN
• CVE-2019-19781 Citrix應用程序交付控制器和網關
• CVE-2020-4006 VMware Workspace ONE訪問

此外，白宮還發布了一份聲明，正式將這項活動和SolarWinds供應鏈損害歸咎於SVR參與者。 CISA更新了以下產品來反映這種歸屬：

• 警報AA20-352A：政府機構，關鍵基礎設施和私營部門組織的APT危害
• 警報AA21-008A：在Microsoft雲環境中檢測威脅後期的威脅活動
• 警報AA21-077A：使用CHIRP IOC檢測工具檢測威脅後期的威脅活動
• 惡意軟件分析報告AR21-039A：MAR-10318845-1.v1-SUNBURST
• 惡意軟件分析報告AR21-039B：MAR-10320115-1.v1-TEARDROP
• 表：SolarWinds和Active Directory / M365的危害-從已知的TTP檢測APT活動
• 修復受SolarWinds和Active Directory / M365危害網頁影響的網絡
• 緊急指令21-01：緩解SolarWinds Orion代碼妥協

CISA強烈建議用戶和管理員查看聯合CSA：俄羅斯SVR針對美國和聯合網絡的SVR策略，技術和程序以及緩解策略。

Source link