不安全的VPN配置文件使黑客能夠破壞Avast防病毒網(wǎng)絡(luò)

通過臨時VPN帳戶使用受到破壞的憑據(jù)，黑客能夠訪問網(wǎng)絡(luò)安全公司Avast的內(nèi)部網(wǎng)絡(luò)，他們很可能打算發(fā)動針對CCleaner的供應(yīng)鏈攻擊。

根據(jù)該公司CISO的Jaya Baloo的博客文章，其中包含了有關(guān)該事件的更多信息，該攻擊似乎是“極其復(fù)雜的嘗試”。

Avast將這種嘗試稱為“ Abiss”，該公司表示，其背后的威脅參與者非常謹(jǐn)慎，以免在掩蓋其真實(shí)意圖的同時避免被發(fā)現(xiàn)。

可疑活動日志顯示，黑客試圖在5月14日和15日，7月24日，9月11日以及10月4日再次訪問其內(nèi)部網(wǎng)絡(luò)。入侵者通過英國的公共IP地址連接并使用了臨時的VPN配置文件，該配置文件應(yīng)不再處于活動狀態(tài)，并且不受兩因素身份驗(yàn)證的保護(hù)。

此外，其憑據(jù)已被泄露的用戶沒有域管理員的權(quán)限，這表明攻擊者能夠?qū)崿F(xiàn)特權(quán)升級。日志還顯示臨時配置文件已被多組用戶憑據(jù)使用，這可能意味著該用戶已成為憑據(jù)盜竊的受害者。

定位CCleaner

由于Avast懷疑攻擊者針對的是CCleaner，因此該公司于9月25日停止了該軟件的所有即將發(fā)布的更新，并開始檢查以前的發(fā)行版以查看是否已被惡意修改。

Avast重新簽署了CCleaner正式發(fā)行版，并于10月15日將其作為自動更新進(jìn)行了發(fā)布，以確保不會給用戶帶來風(fēng)險，并且舊證書也被吊銷。

Jaya Baloo解釋了如何使用新版本的CCleaner來防止攻擊者訪問Avast的內(nèi)部網(wǎng)絡(luò)，他說：

“很明顯，一旦我們發(fā)布了新簽署的CCleaner構(gòu)建，我們就會向惡意行為者傾斜，因此，在那一刻，我們關(guān)閉了臨時VPN配置文件。與此同時，我們禁用并重置了所有內(nèi)部用戶憑據(jù)。與此同時，我們立即對所有版本進(jìn)行了額外的審查。”

然后，Avast通過保持VPN配置文件處于活動狀態(tài)并監(jiān)視通過它的訪問來跟蹤入侵者，直到可以成功部署其緩解措施為止。

該公司已就安全漏洞通知了執(zhí)法部門，并雇用了一個外部法醫(yī)團(tuán)隊(duì)來幫助驗(yàn)證收集到的數(shù)據(jù)。