Security Affairs 網(wǎng)站消息，丹麥計算機安全事件響應小組（CSIRT）SektorCERT 披露，丹麥關(guān)鍵基礎設施在 5 月份遭遇了有史以來最大規(guī)模的網(wǎng)絡攻擊。

據(jù)悉，威脅攻擊者在 5 月 11 日發(fā)起了第一次攻擊活動。經(jīng)過短暫停頓后，5 月 22 日又開始發(fā)動了第二波攻擊活動，當天，SektorCERT 察覺到自身出現(xiàn)安全問題。

SektorCERT 在報告指出，威脅攻擊者利用丹麥關(guān)鍵基礎設施運營商使用的 Zyxel 防火墻中的零日漏洞，成功破壞了 22 家能源基礎設施公司（11 家公司立即遭到網(wǎng)絡威脅）。

威脅攻擊者利用漏洞發(fā)動網(wǎng)絡攻擊

2023 年 4 月 25 日，Zycel 披露其多個防火墻中存在一個關(guān)鍵安全漏洞（CVSS 得分 9.8 ），被追蹤為 CVE-2023-28771。Zyxel 發(fā)現(xiàn)安全漏洞問題后，立刻發(fā)布了安全更新補丁，并敦促其客戶盡快安裝更新補丁。

據(jù)悉，存在安全漏洞原因是 Zyxel ZyWALL/USG 系列固件版本 4.60至 4.73、VPN 系列固件版本 4.6 至5.35、USG FLEX 系列固件版本 46.0 至 5.35 以及 ATP 系列固件版本 4600 至 5.35 中某個錯誤消息處理不當。從 SektorCERT 的報告內(nèi)容來看，未經(jīng)身份驗證的遠程攻擊者可以通過向易受攻擊的設備發(fā)送特制的數(shù)據(jù)包，并遠程執(zhí)行某些操作系統(tǒng)命令來觸發(fā)該漏洞。

威脅攻擊者利用漏洞，通過協(xié)議 UDP 向端口 500 發(fā)送一個特制數(shù)據(jù)包，并將其發(fā)送到易受攻擊的 Zyxel 設備，該數(shù)據(jù)包被 Zyxel 設備上的互聯(lián)網(wǎng)密鑰交換（IKE）數(shù)據(jù)包解碼器接收，解碼器恰恰存在上述 CVE-2023-28771 漏洞。

最終的結(jié)果就是，威脅攻擊者可以在未經(jīng)身份驗證的情況下，直接在設備上執(zhí)行具有 root 權(quán)限的命令，就是說，只要向設備發(fā)送一個數(shù)據(jù)包，威脅攻擊者就能發(fā)起網(wǎng)絡攻擊。此外，從11 家公司立即受到了攻擊的情況來看，網(wǎng)絡攻擊者可能提前獲得了受害公司防火墻的控制權(quán)，從而可以訪問防火墻背后的關(guān)鍵基礎設施。

SektorCERT 安全專家還指出，在發(fā)動網(wǎng)絡攻擊之前，威脅攻擊者可能就已經(jīng)掌握了受害目標的詳細信息，這些信息很可能是通過未被發(fā)現(xiàn)的偵察活動中獲取的。（值得注意的是，目前還沒有關(guān)于哪些組織使用了易受攻擊的防火墻的公開信息）

以下是整個攻擊的網(wǎng)絡殺傷鏈：

在 SektorCERT 發(fā)布的報告中，專家們指出威脅攻擊者能夠同時攻擊多家公司，避免受影響的基礎設施與同行共享攻擊信息，這種“協(xié)調(diào)能力”需要計劃和資源，再加上威脅行動者能夠在大規(guī)模活動中利用零日漏洞，推測威脅攻擊者可能是一個 APT 組織。

此外，安全專家還推測攻擊活動背后的“黑手“可能是由多個威脅組織組成，其中至少有一個可以歸咎于與俄羅斯有關(guān)聯(lián)的”沙蟲“組織。