不安全的VPN配置文件使黑客能夠破壞Avast防病毒網(wǎng)絡

通過臨時VPN帳戶使用受到破壞的憑據(jù)，黑客能夠訪問網(wǎng)絡安全公司Avast的內部網(wǎng)絡，他們很可能打算發(fā)動針對CCleaner的供應鏈攻擊。

根據(jù)該公司CISO的Jaya Baloo的博客文章，其中包含了有關該事件的更多信息，該攻擊似乎是“極其復雜的嘗試”。

Avast將這種嘗試稱為“ Abiss”，該公司表示，其背后的威脅參與者非常謹慎，以免在掩蓋其真實意圖的同時避免被發(fā)現(xiàn)。

可疑活動日志顯示，黑客試圖在5月14日和15日，7月24日，9月11日以及10月4日再次訪問其內部網(wǎng)絡。入侵者通過英國的公共IP地址連接并使用了臨時的VPN配置文件，該配置文件應不再處于活動狀態(tài)，并且不受兩因素身份驗證的保護。

此外，其憑據(jù)已被泄露的用戶沒有域管理員的權限，這表明攻擊者能夠實現(xiàn)特權升級。日志還顯示臨時配置文件已被多組用戶憑據(jù)使用，這可能意味著該用戶已成為憑據(jù)盜竊的受害者。

定位CCleaner

由于Avast懷疑攻擊者針對的是CCleaner，因此該公司于9月25日停止了該軟件的所有即將發(fā)布的更新，并開始檢查以前的發(fā)行版以查看是否已被惡意修改。

Avast重新簽署了CCleaner正式發(fā)行版，并于10月15日將其作為自動更新進行了發(fā)布，以確保不會給用戶帶來風險，并且舊證書也被吊銷。

Jaya Baloo解釋了如何使用新版本的CCleaner來防止攻擊者訪問Avast的內部網(wǎng)絡，他說：

“很明顯，一旦我們發(fā)布了新簽署的CCleaner構建，我們就會向惡意行為者傾斜，因此，在那一刻，我們關閉了臨時VPN配置文件。與此同時，我們禁用并重置了所有內部用戶憑據(jù)。與此同時，我們立即對所有版本進行了額外的審查。”

然后，Avast通過保持VPN配置文件處于活動狀態(tài)并監(jiān)視通過它的訪問來跟蹤入侵者，直到可以成功部署其緩解措施為止。

該公司已就安全漏洞通知了執(zhí)法部門，并雇用了一個外部法醫(yī)團隊來幫助驗證收集到的數(shù)據(jù)。