国家黑客威胁不断,继SolarWinds、微软Exchange Server之后,美国政府周末警告,网络安全设备商Fortinet软件三项漏洞正遭国家支持的黑客扫描及开采,预示未来的攻击行动。
美国联邦调查局(FBI)及网络安全暨基础架构安全管理局(CISA)指出,他们观察到一个高端渗透威胁(Advanced Persistent Threat,APT)组织正在扫描Fortinet的传输端口4443、8443、10443,寻找操作系统软件FortiOS上的漏洞CVE-2018-13379,并针对Fortinet设备进行枚举分析(enumerate),以开采CVE-2019-5591和CVE-2020-12812。已有多家政府、商业组织及ISP遭到锁定。
三项漏洞之中,CVE-2018-13379允许黑客解读系统文件,进而发现存储的明文密码,再登录系统。CVE-2019-5591可让黑客在子域名下设立假LDAP服务器来拦截重要信息,CVE-2020-12812则让攻击者绕过多因素验证,而和主系统创建SSL VPN连接。
传统上,APT黑客攻击已知重大漏洞,可能的行动包括分布式拒绝服务(DDoS)、勒索软件、资料隐码攻击、鱼叉式钓鱼攻击、置换网页图文或制造假信息。
在FortiOS的攻击中,FBI及CISA相信APT攻击者可能计划利用其中之一或所有三项漏洞黑入企业多种基础架构设备,借此访问主要网络,再以此为起点,日后发动资料外泄或资料加密攻击,他们也可能利用其他漏洞或鱼叉式网络钓鱼(spearphishing)等常见开采手法,黑入基础架构网络为未来行动做准备。
去年11月安全厂商在黑客论坛上发现,有人兜售约5万个含有CVE-2018-13379漏洞的Fortinet SSL VPN IP地址,极可能引发这波攻击。
FBI和CISA呼吁政府及民间组织应尽快修补这三项漏洞。若没有使用FortiOS者,则应将FortiOS的主要产出(artifact)文件加入封锁清单,防止任何安装或执行程序或相关文件的行为。
其他建议措施则旨在防止资料被删改,系统被非法访问或安装软件,像是做好资料备份、敏感资料恢复计划,实行网络隔离、关闭未使用的RDP传输端口,限制主要系统的修改、删除及软件安装,定期变更密码,审核用户账号权限等,及使用多因素验证(multi-factor authentication)。