國家黑客威脅不斷,繼SolarWinds 、微軟Exchange Server之後,美國政府週末警告,網絡安全設備商Fortinet軟件三項漏洞正遭國家支持的黑客掃描及開採,預示未來的攻擊行動。
美國聯邦調查局(FBI)及網絡安全暨基礎架構安全管理署(CISA)指出,他們觀察到一個進階滲透威脅(Advanced Persistent Threat,APT)組織正在掃瞄Fortinet的傳輸埠4443、8443、10443,尋找作業系統軟件FortiOS上的漏洞CVE-2018-13379,並針對Fortinet裝置進行列舉分析(enumerate),以開採CVE-2019-5591和CVE-2020-12812。已有多家政府、商業組織及ISP遭到鎖定。
三項漏洞之中,CVE-2018-13379允許黑客解讀系統檔案,進而發現儲存的明文密碼,再登入系統。CVE-2019-5591可讓黑客在子網域下設立假LDAP服務器來攔截重要信息,CVE-2020-12812則讓攻擊者繞過多因素驗證,而和主系統建立SSL VPN連線。
傳統上,APT黑客攻擊已知重大漏洞,可能的行動包括分散式阻斷服務(DDoS)、勒索軟件、資料隱碼攻擊、魚叉式釣魚攻擊、置換網頁圖文或製造假信息。
在FortiOS的攻擊中,FBI及CISA相信APT攻擊者可能計劃利用其中之一或所有三項漏洞駭入企業多種基礎架構設備,藉此存取主要網絡,再以此為起點,日後發動資料外洩或資料加密攻擊,他們也可能利用其他漏洞或魚叉式網絡釣魚(spearphishing)等常見開採手法,駭入基礎架構網絡為未來行動做準備。
去年11月安全廠商在黑客論壇上發現,有人兜售約5萬個含有CVE-2018-13379漏洞的Fortinet SSL VPN IP位址,極可能引發這波攻擊。
FBI和CISA呼籲政府及民間組織應儘速修補這三項漏洞。若沒有使用FortiOS者,則應將FortiOS的主要產出(artifact)檔案加入封鎖清單,防止任何安裝或執行程序或相關檔案的行為。
其他建議措施則旨在防止資料被刪改,系統被非法存取或安裝軟件,像是做好資料備份、敏感資料復原計劃,實行網絡隔離、關閉未使用的RDP傳輸埠,限制主要係統的修改、刪除及軟件安裝,定期變更密碼,稽核用戶賬號權限等,及使用多因素驗證(multi-factor authentication)。