国家黑客威胁不断,继SolarWinds 、微软Exchange Server之后,美国政府周末警告,网络安全设备商Fortinet软件三项漏洞正遭国家支持的黑客扫描及开采,预示未来的攻击行动。
美国联邦调查局(FBI)及网络安全暨基础架构安全管理署(CISA)指出,他们观察到一个进阶渗透威胁(Advanced Persistent Threat,APT)组织正在扫瞄Fortinet的传输埠4443、8443、10443,寻找作业系统软件FortiOS上的漏洞CVE-2018-13379,并针对Fortinet装置进行列举分析(enumerate),以开采CVE-2019-5591和CVE-2020-12812。已有多家政府、商业组织及ISP遭到锁定。
三项漏洞之中,CVE-2018-13379允许黑客解读系统档案,进而发现储存的明文密码,再登入系统。CVE-2019-5591可让黑客在子网域下设立假LDAP服务器来拦截重要信息,CVE-2020-12812则让攻击者绕过多因素验证,而和主系统建立SSL VPN连线。
传统上,APT黑客攻击已知重大漏洞,可能的行动包括分散式阻断服务(DDoS)、勒索软件、资料隐码攻击、鱼叉式钓鱼攻击、置换网页图文或制造假信息。
在FortiOS的攻击中,FBI及CISA相信APT攻击者可能计划利用其中之一或所有三项漏洞骇入企业多种基础架构设备,借此存取主要网络,再以此为起点,日后发动资料外泄或资料加密攻击,他们也可能利用其他漏洞或鱼叉式网络钓鱼(spearphishing)等常见开采手法,骇入基础架构网络为未来行动做准备。
去年11月安全厂商在黑客论坛上发现,有人兜售约5万个含有CVE-2018-13379漏洞的Fortinet SSL VPN IP位址,极可能引发这波攻击。
FBI和CISA呼吁政府及民间组织应尽速修补这三项漏洞。若没有使用FortiOS者,则应将FortiOS的主要产出(artifact)档案加入封锁清单,防止任何安装或执行程序或相关档案的行为。
其他建议措施则旨在防止资料被删改,系统被非法存取或安装软件,像是做好资料备份、敏感资料复原计划,实行网络隔离、关闭未使用的RDP传输埠,限制主要系统的修改、删除及软件安装,定期变更密码,稽核用户账号权限等,及使用多因素验证(multi-factor authentication)。