随着远程办公越来越普遍,VPN系统的安全性也变得更加受到关注。然而,对于已被披露的重大VPN漏洞,仍然有不少企业尚未修补,而让黑客有机可乘。根据安全新闻网站Bleeping Computer于11月22日的报道,威胁情报企业Bank Security于19日,在黑客论坛增至到有人分享了近5万个Fortinet SSL VPN IP地址,并宣称这些系统都存在CVE-2018-13379漏洞。
CVE-2018-13379是未经验证的任意读档漏洞(Arbitrary File Reading),黑客可以借此解读系统文件,进而发现存储的明文密码,就能登录系统且访问企业内部网络环境。这个漏洞存在于执行FortiOS 6.0.4、5.6.7、5.4.12等旧版操作系统的Fortinet设备,该公司于去年5月下旬首度修补。而相关的漏洞细节,台湾戴夫寇尔(Devcore)研究员Orange Tsai与Meh Chang,于去年8月举行的黑帽大会(Black Hat 2019)进行披露。
然而,就在CVE-2018-13379的细节被披露超过1年后,今年的11月19日,威胁情报分析员Bank Security在推特上指出,有ID名为Pumpedkicks的黑客,整理出有49,577个未修补此漏洞的Fortinet SSL VPN系统名单,分享给其他黑客。Bank Security也发布2张截屏,来显示这份名单的部分内容。
The Threat Actor “pumpedkicks” shared a list of 49,577 IPs vulnerable to Fortinet SSL VPN CVE-2018-13379.
The Actor also claims to have the clear text credentials associated with these IPs.pic.twitter.com/usIyKi3Tl0
—Bank Security (@Bank_Security)November 19, 2020
Bleeping Computer联系上了Bank Security,并取得这份IP地址名单进行分析,他们发现其中存在许多知名的银行、金融机构,以及政府单位。
而这名分析员分析了这些IP地址后,他再度于21日在推特上转推上述推文,内文指出这些IP地址的所有者,包含了一些银行、许多政府单位的域名,以及全球数以千计的企业,这样的说法与Bleeping Computer大致相符。
After a nslookup on all IPs, I found that among the victims there are some Banks, many .gov domains and thousands of companies around the world.https://t.co/F4o9xzjGJ4
—Bank Security (@Bank_Security)November 20, 2020
由于近期已有攻击事件滥用这个漏洞,例如,上个月黑客攻击美国政府的选务支持系统,CVE-2018 -13379就是其中遭到滥用来进入公部门内部网络的漏洞之一。采用Fortinet SSL VPN的企业应尽快修补这项漏洞。至于是否有台湾的政府机关或企业出现在这份名单中,仍有待进一步厘清。
针对这次黑客暴露尚未修补漏洞的Fortinet VPN SSL名单,我们也向台湾Fortinet确认,该公司重申已经进行相关公告,但对于此事,他们显然并未进一步的掌握。