两家机构均表示,APT国家参与者正在积极利用Fortinet FortiOS中的已知安全漏洞,从而影响了该公司的SSL VPN产品。
联邦调查局(FBI)和网络安全与基础设施安全局(CISA)发布了联合咨询,以警告组织和用户黑客如何利用Fortinet FortiOS VPN中的关键漏洞。
他们的目标是在未来部署滩头堡,以破坏大中型企业的安全性。
根据周五发布的警报,高级持续威胁(APT)民族国家参与者利用FortiOS网络安全操作系统中的已知漏洞,并将目标锁定为Fortinet的SSL VPN产品。但是,这些机构没有分享有关APT的更多细节。
美国联邦调查局(FBI)和网络安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency)警告说,高级持续威胁(APT)民族国家参与者正在积极利用Fortinet FortiOS网络安全操作系统中的已知安全漏洞,从而影响该公司的SSL VPN产品。
FortiOS SSL VPN用于边界防火墙。这些负责从其他公共Internet连接中隔离敏感的内部网络。
剥削是如何进行的?
FBI和CISA报告说,APT威胁参与者扫描端口4443、8443和10443上的设备,以找到未打补丁的Fortinet安全实施方案。尤其值得关注的漏洞是分类为CVE-2018-13379,CVE-2019-5591和CVE-2020-12812的漏洞。
众所周知,此类组织利用关键缺陷来实施DDoS攻击,勒索软件攻击,鱼叉式网络钓鱼活动,结构化查询语言注入攻击,虚假信息活动,网站破坏以及类似的其他类型的攻击。
关于虫子
在CVE-2018-13379是Fortinet公司的FortiOS路径遍历漏洞,其中SSL VPN门户网站通过专门设计的HTTP资源请求允许未经授权的攻击者下载系统文件。
C CVE-2019-5591错误是一个默认配置漏洞,该漏洞使同一子网中未经身份验证的攻击者可以通过模仿LDAP服务器来捕获敏感信息。
该CVE-2020-12812是在FortiOS的SSL VPN,允许成功登录而不提示FortiToken用户(认证的第二因素),如果他们更改用户名的情况下的不正确认证的缺陷。
谁有危险?
这些机构的研究人员指出,APT参与者可以利用这些漏洞初步获得政府,技术和商业实体的立足点。
SEE:在100,000多个Zyxel防火墙,VPN网关中找到后门帐户
“获得初始访问权限使APT参与者可以进行进一步的攻击。” 攻击后,攻击者将横向移动并对其目标进行监视。
“ APT参与者可能正在使用这些CVE中的任何一个或全部来获取跨多个关键基础设施部门的网络的访问权,以获取对关键网络的访问权,作为后续数据泄露或数据加密攻击的先决条件。APT参与者可能会使用其他CVE或常见的利用技术(例如鱼叉式网络钓鱼)来获取对关键基础结构网络的访问权限,以进行后续攻击。
修补错误将需要进行配置更改,并且组织网络必须具有多个VPN设备。会有停机时间,那些全天需要VPN的人可能会觉得不容易。但是,从事间谍活动或勒索软件的风险远大于此。
(来源:HACKREAD)