史上最大!丹麦关键基础设施遭受网络攻击
创始人
2025-07-06 14:31:31
0

Security Affairs 网站消息,丹麦计算机安全事件响应小组(CSIRT)SektorCERT 披露,丹麦关键基础设施在 5 月份遭遇了有史以来最大规模的网络攻击。

据悉,威胁攻击者在 5 月 11 日发起了第一次攻击活动。经过短暂停顿后,5 月 22 日又开始发动了第二波攻击活动,当天,SektorCERT 察觉到自身出现安全问题。

SektorCERT 在报告指出,威胁攻击者利用丹麦关键基础设施运营商使用的 Zyxel 防火墙中的零日漏洞,成功破坏了 22 家能源基础设施公司(11 家公司立即遭到网络威胁)。

威胁攻击者利用漏洞发动网络攻击

2023 年 4 月 25 日,Zycel 披露其多个防火墙中存在一个关键安全漏洞(CVSS 得分 9.8 ),被追踪为 CVE-2023-28771。Zyxel 发现安全漏洞问题后,立刻发布了安全更新补丁,并敦促其客户尽快安装更新补丁。

据悉,存在安全漏洞原因是 Zyxel ZyWALL/USG 系列固件版本 4.60至 4.73、VPN 系列固件版本 4.6 至5.35、USG FLEX 系列固件版本 46.0 至 5.35 以及 ATP 系列固件版本 4600 至 5.35 中某个错误消息处理不当。从 SektorCERT 的报告内容来看,未经身份验证的远程攻击者可以通过向易受攻击的设备发送特制的数据包,并远程执行某些操作系统命令来触发该漏洞。

威胁攻击者利用漏洞,通过协议 UDP 向端口 500 发送一个特制数据包,并将其发送到易受攻击的 Zyxel 设备,该数据包被 Zyxel 设备上的互联网密钥交换(IKE)数据包解码器接收,解码器恰恰存在上述 CVE-2023-28771 漏洞。

最终的结果就是,威胁攻击者可以在未经身份验证的情况下,直接在设备上执行具有 root 权限的命令,就是说,只要向设备发送一个数据包,威胁攻击者就能发起网络攻击。此外,从11 家公司立即受到了攻击的情况来看,网络攻击者可能提前获得了受害公司防火墙的控制权,从而可以访问防火墙背后的关键基础设施。

SektorCERT 安全专家还指出,在发动网络攻击之前,威胁攻击者可能就已经掌握了受害目标的详细信息,这些信息很可能是通过未被发现的侦察活动中获取的。(值得注意的是,目前还没有关于哪些组织使用了易受攻击的防火墙的公开信息)

以下是整个攻击的网络杀伤链:

在 SektorCERT 发布的报告中,专家们指出威胁攻击者能够同时攻击多家公司,避免受影响的基础设施与同行共享攻击信息,这种“协调能力”需要计划和资源,再加上威胁行动者能够在大规模活动中利用零日漏洞,推测威胁攻击者可能是一个 APT 组织。

此外,安全专家还推测攻击活动背后的“黑手“可能是由多个威胁组织组成,其中至少有一个可以归咎于与俄罗斯有关联的”沙虫“组织。

相关内容

热门资讯

如何允许远程连接到MySQL数... [[277004]]【51CTO.com快译】默认情况下,MySQL服务器仅侦听来自localhos...
如何利用交换机和端口设置来管理... 在网络管理中,总是有些人让管理员头疼。下面我们就将介绍一下一个网管员利用交换机以及端口设置等来进行D...
施耐德电气数据中心整体解决方案... 近日,全球能效管理专家施耐德电气正式启动大型体验活动“能效中国行——2012卡车巡展”,作为该活动的...
20个非常棒的扁平设计免费资源 Apple设备的平面图标PSD免费平板UI 平板UI套件24平图标Freen平板UI套件PSD径向平...
德国电信门户网站可实时显示全球... 德国电信周三推出一个门户网站,直观地实时提供其安装在全球各地的传感器网络检测到的网络攻击状况。该网站...
为啥国人偏爱 Mybatis,... 关于 SQL 和 ORM 的争论,永远都不会终止,我也一直在思考这个问题。昨天又跟群里的小伙伴进行...
《非诚勿扰》红人闫凤娇被曝厕所... 【51CTO.com 综合消息360安全专家提醒说,“闫凤娇”、“非诚勿扰”已经被黑客盯上成为了“木...
2012年第四季度互联网状况报... [[71653]]  北京时间4月25日消息,据国外媒体报道,全球知名的云平台公司Akamai Te...