这些是DNS劫持者在攻击中使用的漏洞

这些是DNS劫持者在攻击中使用的漏洞这些是DNS劫持者在攻击中使用的漏洞

成熟的黑客组织利用广泛的漏洞作为其全球黑客狂欢的一部分。思科警告说,国家支持的黑客试图通过结合使用鱼叉式网络钓鱼和许多已知的软件漏洞来操纵域名系统(DNS)。“DNS是支持互联网的基础技术。操纵该系统有可能破坏用户对互联网的信任。整个DNS系统的信任和稳定性推动了全球经济。负责任的国家应该避免瞄准这个系统,“思科Talos研究人员说。

在过去两年中,所谓的海龟集团已经攻击了许多DNS注册商和注册管理机构,以对国家安全组织和政府机构进行DNS劫持攻击。这些攻击影响了13个国家的40个组织。

其中的缺陷是维基解密的2017年Vault7漏洞中披露的CIA黑客工具。由于Vault7泄漏,思科在其广泛部署的IOS和IOS XE网络软件中发现了关键的远程代码执行错误CVE-2017-3881,该软件影响了300多种交换机型号,其中许多来自其Catalyst品牌。

这家网络公司已经将2017年警告重新提升到其安全建议页面的顶部,并警告说它有关于该州政府资助的黑客组织利用漏洞的新信息。

参见:

部分攻击涉及模拟VPN应用程序(如思科自适应安全设备(ASA)产品),以获取VPN凭据以远程访问目标网络。攻击者使用DNS劫持来重定向流量并捕获合法的SSL证书。

“该活动的一个值得注意的方面是参与者模拟VPN应用程序(如思科自适应安全设备(ASA)产品)执行MitM攻击的能力。此时,我们认为攻击者并未发现新的ASA攻击。相反,他们可能滥用与ASA的SSL证书相关的信任关系来获取VPN凭证以获得对受害者网络的远程访问。这种MitM功能将允许威胁行为者获得额外的VPN凭证,“Talos研究人员解释说。

Talos列出了与该活动相关的七个已知漏洞,包括:CVE-2017-3881,Cisco交换机的另一个远程代码执行(RCE)错误;CVE-2017-6736,影响思科的集成服务路由器2811;和CVE-2018-0296,一个目录遍历,可以访问Cisco ASA设备和防火墙。

攻击者还使用Drupalgeddon漏洞来对抗Drupal CMS,一个影响GNU bash的RCE,以及​​影响phpMyAdmin的代码注入漏洞。

研究人员指出:“我们高度自信地评估这项活动是由一个先进的,由国家资助的行动者进行的,该行动者试图获得对敏感网络和系统的持续访问。”

它还表示,海龟活动与2018年底公布的DNSpionage活动是分开的,这促使2月份国土安全部发布紧急指令。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

标签: DNS劫持者

网站免责声明 本网站所提供的信息,只供参考之用。 本网站及其雇员一概毋须以任何方式就任何信息传递或传送的失误、不准确或错误对用户或任何其他人士负任何直接或间接的责任。 本网站在此声明,不承担用户或任何人士就使用或未能使用本网站所提供的信息或任何链接或项目所引致的任何直接、间接、附带、从属、特殊、惩罚性或惩戒性的损害赔偿(包括但不限于收益、预期利润的损失或失去的业务、未实现预期的节省)。 本网站所提供的信息,若在任何司法管辖地区供任何人士使用或分发给任何人士时会违反该司法管辖地区的法律或条例的规定或会导致本网站或其第三方代理人受限于该司法管辖地区内的任何监管规定时,则该等信息不宜在该司法管辖地区供该等任何人士使用或分发给该等任何人士。用户须自行保证不会受限于任何限制或禁止用户使用或分发本网站所提供信息的当地的规定。 本网站图片,文字之类版权申明,因为网站可以由注册用户自行上传图片或文字,本网站无法鉴别所上传图片或文字的知识版权,如果侵犯,请及时通知我们,本网站将在第一时间及时删除。 凡以任何方式登陆本网站或直接、间接使用本网站资料者,视为自愿接受本网站声明的约束。联系QQ515827934