A számos, jelentős biztonsági incidenst magáénak tudó észak-koreai, feltehetően állami támogatással működő hackercsoport áll a múlt hónapban észlelt támadás mögött, amely a dél-koreai állami nukleáris kutatóintézet (Korea Atomic Research Institute, KAERI) ellen irányult.
A Kimsuky APT-csoport hackerei egy VPN sebezhetőséget kihasználva férhettek hozzá a KAERI belső hálózatához.
Mivel az intézet - amely most ismerte el az incidenst - felelős a dél-koreai nukleáris kutatásokért, amennyiben az állam nukleáris energiával kapcsolatos legfontosabb technológiái kiszivárogtak Észak-Koreába, az az ország legnagyobb biztonsági megsértése lehet.
Az USA Kiberbiztonsági és Információbiztonsági Ügynöksége szerint a Kimsuky az észak-koreai hírszerzés (Reconnaissance General Bureau intelligence) alatt működik, globális hírszerzési tevékenységet folytat, amelynek középpontjában többek között nukleáris külpolitikai és nemzetbiztonsági kérdések állnak.
Az észak-koreai hackercsoport nem először támadt dél-koreai célpontra, 2019-ben rendvédelmet érintő adathalász kísérleteik voltak, míg például 2014-ben víz- és nukleáris erőművet támadtak. Emellett tavaly óta folyamatos támadások érik a dél-koreai hadsereg hajó és tengeralattjáró beszállítóját, a Daewoo Shipbuilding & Marine Engineering céget.
Egyenlőre nem lehet tudni, hogy mely gyártó sebezhetőségét használták ki a támadók, azonban az utóbbi időben jó néhány VPN sebezhetőséggel kapcsolatban lehetett aggasztó híreket olvasni a DLP blog szerint.
- Pulse Secure - CVE-2019-11510 Pulse Connect Secure (PCS): Pre-auth arbitrary file reading
- Pulse Secure - CVE-2019-11539 Pulse Connect Secure (PCS) and Pulse Policy Secure (PPS) : Post-auth command injection
- Fortinet - CVE-2018-13379 FortiOS: Pre-auth arbitrary file reading
- Fortinet - CVE-2018-13382 FortiOS: Unauthenticated SSL VPN users password modification
- Fortinet - CVE-2018-13383 FortiOS: SSL VPN buffer overrun when parsing javascript href content
- Citrix NetScaler - CVE-2019-19781: Directory Path Traversal leads to RCE
- Palo Alto Networks - CVE-2020-2050 PAN-OS: Authentication bypass vulnerability in GlobalProtect client certificate verification
- Palo Alto Networks - CVE-2020-2005 PAN-OS: GlobalProtect clientless VPN session hijacking
- Palo Alto Networks - CVE-2019-1579 PAN-OS: Remote Code Execution in GlobalProtect Portal/Gateway Interface
- SonicWall - CVE-2020-5135 SONIC-OS: A buffer overflow vulnerability
- SonicWall - CVE-2019-7481 SonicOS: Blind SQL injection vulnerability which can be exploited remotely
- SonicWall - CVE-2019-7482 SonicOS: Execute arbitrary commands with nobody privileges on the device
- SonicWall - CVE-2019-7483 SonicOS: Pre-authentication vulnerability
- Cisco Systems - CVE-2020-3220 Cisco IOS: Cisco IOS XE software IPsec VPN denial of service vulnerability
- Moxa - CVE-2020-14511: Moxa's EDR-G902 and EDR-G903 series secure routers / VPN servers sport a stack-based buffer overflow bug
Noha a gyártók a lehető leggyorsabban kiadták javításaikat, sajnos jelentős elmaradás mutatkozik ezek alkalmazásában: az érintett szervezetek nem feltétlen telepítik ezeket.
