安全厂商发现,稍早发现的Fortinet网络设备软件漏洞已经有黑客公开销售访问的方法。
10月间Fortinet修补了零时差漏洞CVE-2022-40684,它是HTTP/HTTPS管理接口的验证绕过漏洞,可被远程滥用,风险值列为9.6,属于重大风险。这项漏洞影响多项产品,包括FortiOS、FortiProxy和FortiSwitchManager。
Fortinet当时提醒用户应尽快更新,因为公开前已经遭到滥用。如今专门监控暗网上犯罪活动及漏洞情报的厂商Cyble发现,俄罗斯地下网络论坛上,已经有人公开发布消息,以销售访问Fortinet VPN设备的凭证资讯。
图片来源/Cyble
Cyble发现的是“多个”未授权FortiOS设备的访问资讯,包括网址、管理员用户的SSH Key。分析这些访问资讯显示,攻击者企图将公开密钥加入到受害企业管理员账号中,借此冒充管理员访问Fortinet设备。根据资料,这些受害企业用的都是过时版本的FortiOS。研究人员相信,发布广告的攻击者应该是对CVE-2022-40684发动攻击。
图片来源/Cyble
通过冒充Fortinet管理员,攻击者可修改管理SSH密钥、添加本机用户、修改网络配置变更流量路径、下载系统配置资讯、抓取封包截取其他敏感系统或网络资讯,再于暗网销售。
Cyble研究人员指出,针对Fortinet执行实例的攻击行动,从10月17日起就持续至今。这个时间点大约等同Fortinet第一波悄悄发通知用户更新软件的时间。
研究人员呼吁用户尽快安装修补程序,因为网络上已公开的概念验证(PoC)程序及自动化工具,让攻击者在漏洞公布几天之内就能发动攻击。