不是漏洞利用！美國CISA 示警駭客利用 F5 BIG-IP Cookie 進行網路偵察

美國網路安全暨基礎設施安全局（CISA）近日發出警告，指出已觀察到威脅行為者利用 F5 BIG-IP 本地流量管理器（LTM）模組管理的未加密持久性 Cookie 來對目標網路進行偵察。
 
CISA 表示，LTM模組被用來列舉非面向網際網路的設備。然而，CISA未透露是誰在背後策劃這些活動，或這些行動的最終目標為何。
 
CISA 公告表示，惡意網路行為者可能利用從未加密的持久性 Cookie 收集到的資訊來推斷或識別其他網路資源，並可能利用在網路上其他設備中發現的漏洞。
 
CISA建議組織透過在 HTTP 設定檔中配置 Cookie 加密來加密 F5 BIG-IP 設備中使用的持久性 Cookie。此外，CISA 也敦促用戶使用 F5 提供BIG-IP iHealth 的診斷工具來驗證其系統的保護狀況，以識別潛在問題。
 
F5的BIG-IP iHealth 系統會根據已知問題、常見錯誤和 F5 發布的最佳安全實踐資料庫，評估使用者的 BIG-IP 系統的日誌、命令輸出和配置。優先排序的結果提供有關配置問題或程式碼缺陷的量身定制反饋，並提供問題描述和解決建議。

親俄的APT29利用代理網路 

同時，英國和美國網路安全機構發布聯合公告，詳述俄羅斯國家支持的行為者APT29試圖針對外交、國防、科技和金融部門，以收集外國情報並為未來的網路行動鋪路。
 
這些活動被歸因於一個被稱為 APT29 的威脅行為者，該組織也被稱為 BlueBravo、Cloaked Ursa、Cozy Bear 和 Midnight Blizzard。APT29 被認為是俄羅斯軍事情報機構的重要組成部分，隸屬於對外情報局（SVR）。
 
兩國機構共同表示，SVR 的網路入侵高度注重保持匿名和不被檢測。這些行為者在整個入侵過程中廣泛使用 TOR，從初始目標鎖定到資料收集，以及在整個網路基礎設施中。他們使用各種虛假身份和低信譽電子郵件帳戶租用操作基礎設施。SVR 從主要託管提供商的轉售商那裡獲取基礎設施。
 
APT29 發動的攻擊被分為兩類：一類旨在收集情報並建立持久訪問，以便於進行供應鏈攻擊（即有意圖的目標）；另一類則允許他們託管惡意基礎設施或利用已知漏洞、弱密碼或其他錯誤配置從被入侵的帳戶進行後續操作（即機會目標）。
 
一些重要的安全漏洞包括 CVE-2022-27924：Zimbra Collaboration 的命令注入漏洞和 CVE-2023-42793：允許在 TeamCity Server 上遠程執行程式碼的關鍵身份驗證繞過漏洞。
 
APT29 是威脅行為者不斷創新其戰術、技術和程序以保持隱蔽性並規避防禦的一個典型例子。他們甚至會在懷疑入侵被受害者或執法部門發現時，銷毀其基礎設施並抹去任何證據。
 
另一個值得注意的技術是廣泛使用代理網路，包括行動電話提供商或家戶網路服務，以與北美地區的受害者互動並混入合法流量中。
 
兩國機構表示，為了阻止這種活動，組織應該對授權設備建立基準，並對不符合基準的訪問其網路資源的系統進行額外審查。
 
網路安全公司 Tenable認為APT29 利用了各種安全漏洞，包括已修補的已知漏洞，來攻擊組織。確保軟體保持更新是抵禦威脅行為者的主要防線。Tenable表示，APT29 體現高級持續性威脅（APT）組織中『持續性』的特點。多年來，APT29 一直持續針對美國和歐洲的組織，利用各種技術，包括魚叉式網路釣魚和利用漏洞來獲得初始訪問權限並提升權限。APT29 的作業模式是收集外國情報，並在被入侵的組織中保持持久性，以便進行未來的行動。

本文轉載自thehackernews。