本文来自微信公众号“GoUpSec”。
近日,一场针对Fortinet防火墙的大规模攻击悄然浮出水面。据德国媒体报道,超过1.5万个Fortinet Fortigate防火墙的配置文件及相关管理员和用户凭据被泄露,不仅暴露了大量企业用户的安全漏洞,也为整个网络安全行业敲响了警钟。
泄露数据被免费公开
此次泄露的配置文件数据包于本周一被名为“Belsen_Group”的黑客组织在地下论坛免费公开(题图),据称是为了打造该黑客组织在论坛用户心目中的“人设”。泄露的1.6GB压缩包内含按国家分类的文件夹,每个文件夹下又有以IP地址命名的子文件夹,其中存放着完整的配置文件和记录管理员及VPN用户账户密码的txt文档。
德国新闻媒体Heise Online揭露,大多数FortiNet配置文件(共1603份),被攻击者在墨西哥窃取,另有679份来自美国,208份来自德国。受影响的设备多位于公司和医疗机构,涉及多达80种不同类型的设备,其中FortiGate Firewall 40F和60F最为常见,还包括WLAN网关以及适用于服务器机架安装、桌面或清洁柜放置的紧凑型设备。
攻击手法与漏洞利用
据多名研究人员分析,被盗配置文件的档案可追溯至2022年10月,攻击者疑似利用了FortiOS的身份验证绕过漏洞(CVE-2022–40684)来收集这些文件。安全研究员KevinBeaumont表示,他曾对一个受害组织的设备进行事件响应,确证攻击是通过CVE-2022–40684实施的,并且他还能验证转储中看到的用户名和密码与设备上的详细信息相匹配。
潜在风险与应对措施
CloudSEK研究人员下载了该档案,并编制了IP地址列表,供组织检查其设备是否受影响。他们指出,用户名和密码(部分以明文形式)的曝光使攻击者能够直接访问敏感系统。即使企业用户在2022年Fortigate发布补丁后修补了该CVE,仍需检查入侵迹象,因为当时这是一个零日漏洞。
防火墙规则可能揭示内部网络结构,潜在地使攻击者能够绕过防御。此外,被入侵的数字证书可能允许未经授权的设备访问或在安全通信中冒充身份。研究人员建议组织更新所有设备和VPN凭据,审查防火墙规则以查找可利用的弱点并加强访问控制,撤销并更换所有暴露的数字证书以恢复安全通信,并最终进行取证调查,以检查设备是否曾被或仍被入侵。
据推测,Belsen Group可能在泄露前已将其出售给其他攻击者。“Belsen Group在论坛上看似新面孔,但根据他们泄露的数据,我们非常确定该组织已存在至少3年。他们可能是一个曾在2022年利用零日漏洞的威胁团体的一部分。”
事件反思与行业警示
此次Fortinet防火墙配置文件的大规模泄露事件,再次凸显了零日漏洞安全风险的日益严峻,以及及时修补和持续监测的重要性。
该事件再次敲响警钟,企业需要高度重视网络安全产品自身的安全漏洞风险,即使是最广泛部署和信赖的安全设备,也可能因未知漏洞而成为攻击的突破口。近年来包括Crowdstrike、思科、微软等网络安全巨头频频爆出安全漏洞,给客户造成巨大损失。仅Fortinet一家企业今年就发生了两次大规模数据泄露,9月份黑客曾通过第三方存储窃取了440GB的Fortinet客户数据。此外,2021年黑客通过CVE-8-13379漏洞泄露了近50万个FortinetVPN账户凭证。
企业和组织必须保持高度警惕,定期更新和审查安全措施,同时加强员工的安全意识培训,以应对不断演变的网络威胁。此外,此次事件也强调了与安全社区和安全厂商保持紧密合作的必要性,以便在新漏洞出现时迅速响应并采取有效的防御策略。
参考链接:
- https://www.heise.de/en/news/Unknown-group-releases-Fortinet-config-files-and-VPN-passwords-to-the-darknet-10244238.html
- https://doublepulsar.com/2022-zero-day-was-used-to-raid-fortigate-firewall-configs-somebody-just-released-them-a7a74e0b0c7f
