NSA-CISA-FBI针对以美国和相关网络为目标的俄罗斯SVR联合咨询

原始发行日期：2021年4月15日|修订日期：2021年4月16日

CISA，国家安全局（NSA）和联邦调查局（FBI）发布了有关俄罗斯外国情报服务（SVR）参与者的联合网络安全咨询（CSA），这些参与者正在扫描和利用漏洞来破坏美国和相关网络，包括国家安全和政府相关系统。

具体来说，SVR参与者正在针对和利用以下漏洞：

• CVE-2018-13379 Fortinet FortiGate VPN
• CVE-2019-9670 Synacor Zimbra协作套件
• CVE-2019-11510脉冲安全脉冲连接安全VPN
• CVE-2019-19781 Citrix应用程序交付控制器和网关
• CVE-2020-4006 VMware Workspace ONE访问

此外，白宫还发布了一份声明，正式将这项活动和SolarWinds供应链损害归咎于SVR参与者。 CISA更新了以下产品来反映这种归属：

• 警报AA20-352A：政府机构，关键基础设施和私营部门组织的APT危害
• 警报AA21-008A：在Microsoft云环境中检测威胁后期的威胁活动
• 警报AA21-077A：使用CHIRP IOC检测工具检测威胁后期的威胁活动
• 恶意软件分析报告AR21-039A：MAR-10318845-1.v1-SUNBURST
• 恶意软件分析报告AR21-039B：MAR-10320115-1.v1-TEARDROP
• 表：SolarWinds和Active Directory / M365的危害-从已知的TTP检测APT活动
• 修复受SolarWinds和Active Directory / M365危害网页影响的网络
• 紧急指令21-01：缓解SolarWinds Orion代码妥协

CISA强烈建议用户和管理员查看联合CSA：俄罗斯SVR针对美国和联合网络的SVR策略，技术和程序以及缓解策略。

Source link