Security Affairs 網站消息，丹麥計算機安全事件響應小組（CSIRT）SektorCERT 披露，丹麥關鍵基礎設施在 5 月份遭遇了有史以來最大規(guī)模的網絡攻擊。

據悉，威脅攻擊者在 5 月 11 日發(fā)起了第一次攻擊活動。經過短暫停頓后，5 月 22 日又開始發(fā)動了第二波攻擊活動，當天，SektorCERT 察覺到自身出現安全問題。

SektorCERT 在報告指出，威脅攻擊者利用丹麥關鍵基礎設施運營商使用的 Zyxel 防火墻中的零日漏洞，成功破壞了 22 家能源基礎設施公司（11 家公司立即遭到網絡威脅）。

威脅攻擊者利用漏洞發(fā)動網絡攻擊

2023 年 4 月 25 日，Zycel 披露其多個防火墻中存在一個關鍵安全漏洞（CVSS 得分 9.8 ），被追蹤為 CVE-2023-28771。Zyxel 發(fā)現安全漏洞問題后，立刻發(fā)布了安全更新補丁，并敦促其客戶盡快安裝更新補丁。

據悉，存在安全漏洞原因是 Zyxel ZyWALL/USG 系列固件版本 4.60至 4.73、VPN 系列固件版本 4.6 至5.35、USG FLEX 系列固件版本 46.0 至 5.35 以及 ATP 系列固件版本 4600 至 5.35 中某個錯誤消息處理不當。從 SektorCERT 的報告內容來看，未經身份驗證的遠程攻擊者可以通過向易受攻擊的設備發(fā)送特制的數據包，并遠程執(zhí)行某些操作系統(tǒng)命令來觸發(fā)該漏洞。

威脅攻擊者利用漏洞，通過協議 UDP 向端口 500 發(fā)送一個特制數據包，并將其發(fā)送到易受攻擊的 Zyxel 設備，該數據包被 Zyxel 設備上的互聯網密鑰交換（IKE）數據包解碼器接收，解碼器恰恰存在上述 CVE-2023-28771 漏洞。

最終的結果就是，威脅攻擊者可以在未經身份驗證的情況下，直接在設備上執(zhí)行具有 root 權限的命令，就是說，只要向設備發(fā)送一個數據包，威脅攻擊者就能發(fā)起網絡攻擊。此外，從11 家公司立即受到了攻擊的情況來看，網絡攻擊者可能提前獲得了受害公司防火墻的控制權，從而可以訪問防火墻背后的關鍵基礎設施。

SektorCERT 安全專家還指出，在發(fā)動網絡攻擊之前，威脅攻擊者可能就已經掌握了受害目標的詳細信息，這些信息很可能是通過未被發(fā)現的偵察活動中獲取的。（值得注意的是，目前還沒有關于哪些組織使用了易受攻擊的防火墻的公開信息）

以下是整個攻擊的網絡殺傷鏈：

在 SektorCERT 發(fā)布的報告中，專家們指出威脅攻擊者能夠同時攻擊多家公司，避免受影響的基礎設施與同行共享攻擊信息，這種“協調能力”需要計劃和資源，再加上威脅行動者能夠在大規(guī)模活動中利用零日漏洞，推測威脅攻擊者可能是一個 APT 組織。

此外，安全專家還推測攻擊活動背后的“黑手“可能是由多個威脅組織組成，其中至少有一個可以歸咎于與俄羅斯有關聯的”沙蟲“組織。