您好!今天是:2025年-5月5日-星期一
警惕!近期Fortinet防火墻頻遭攻擊,疑似零日漏洞被利用
點擊:1923 作者:安全內參編譯 來源:安全內參微信號 發布時間:2025-01-16 13:48:05
針對公網暴露的FortiGate設備管理接口的一系列持續攻擊,導致未經授權的管理員登錄、配置更改、新賬號創建以及SSL VPN認證執行。
安全內參1月15日消息,近期一系列針對Fortinet FortiGate防火墻設備的攻擊可能源于一個零日漏洞。這些設備的管理接口暴露在互聯網上。研究人員發現,攻擊者利用這些接口實施了未經授權的管理員登錄、修改配置、創建新賬號,并執行了SSL VPN認證操作。安全廠商Arctic Wolf的研究人員在最新的博客文章中透露,自2024年12月初首次發現FortiGate設備上的可疑活動以來,他們一直在追蹤這一攻擊活動。他們觀察到,威脅行為者通過訪問受影響防火墻的管理接口(固件版本為7.0.14至7.0.16)更改了設備配置。此外,在受侵入的環境中,攻擊者還利用DCSync工具提取了憑證。
2024年12月,Arctic Wolf發布了一份安全公告,披露了這起攻擊事件。最新的博客文章提供了更深入的細節,指出攻擊者可能利用了一個零日漏洞。然而,研究人員尚未“明確確認”初始攻擊的具體方法。但結合受影響組織的時間線緊湊性及固件版本范圍,他們推測,攻擊者正在利用一個尚未公開披露的漏洞。研究人員補充道,此次攻擊活動的受害者分布廣泛,沒有集中于特定行業或組織規模,這表明攻擊是“機會主義性質的,而非刻意的系統性目標攻擊”。研究人員尚未提供關于此次攻擊活動范圍或規模的詳細信息。
Fortinet管理員控制臺遭到攻擊濫用
根據博客文章,與合法的防火墻活動相比,研究人員發現攻擊者“頻繁使用來自少量異常IP地址的jsconsole界面”進行惡意活動。研究人員解釋道,FortiGate下一代防火墻產品提供了一項標準且“便捷”的功能,允許管理員通過基于Web的管理界面訪問命令行界面(CLI)。他們寫道:“根據FortiGate的知識庫,當管理員通過基于Web的CLI控制臺進行更改時,用戶界面會記錄為jsconsole,同時記錄下進行更改的源IP地址。而通過SSH進行更改時,則會記錄為SSH。”盡管尚未直接確認這些命令是否被用于此次攻擊活動,但研究人員觀察到的行為模式與通過jsconsole調用的方式高度相似。研究人員補充:“根據入侵過程中觀察到的戰術和基礎設施差異,此次攻擊活動可能涉及多個攻擊者或團體,但jsconsole的使用貫穿始終,成為攻擊活動的共同特征。”
四階段攻擊活動仍在持續
研究人員將此次攻擊活動劃分為四個階段,自2024年11月中旬開始:
第一階段:漏洞掃描(11月中旬)
第二階段:偵察活動(11月底)
第三階段:SSLVPN配置(12月初)
第四階段:橫向移動(12月中旬至下旬)
他們指出,這一攻擊活動仍在持續,并可能在未來發現更多相關活動。研究人員解釋:“這些階段劃分基于觀察到的惡意配置更改類型及威脅行為者在獲得訪問權限后采取的具體行動,這些行動發生在多個受害組織的受攻擊防火墻設備上。”通常,通過異常IP地址的jsconsole登錄嘗試次數從數百到數千次不等,貫穿了攻擊活動的四個階段。他們寫道:“多數會話的持續時間極短,相關登出事件通常在1秒內甚至更短時間內發生。在某些情況下,同一秒內會出現多次登錄或登出事件,每秒多達4次。”
不要將管理接口暴露在公網上
Fortinet設備長期以來是威脅行為者的熱門目標,其產品中的漏洞經常被廣泛利用以實施網絡入侵。研究人員建議,為了預防攻擊,組織應避免將任何Fortinet設備的管理接口暴露在公共互聯網上,而應僅限受信任的內部用戶訪問。他們在文章中寫道:“將這些接口暴露在公共互聯網上,會擴大威脅行為者的攻擊面,從而使本應僅供受信任管理員使用的功能面臨風險。”此外,研究人員建議管理員遵循以下最佳安全實踐:定期更新設備固件,修補漏洞和其他安全問題;為所有防火墻設備配置syslog監控,以便盡早捕獲惡意活動的跡象。
參考資料:darkreading.com
作者:安全內參編譯;來源: 安全內參微信號
責任編輯:向太陽
特別申明:
1、本文只代表作者個人觀點,不代表本站觀點,僅供大家學習參考;
2、本站屬于非營利性網站,如涉及版權和名譽問題,請及時與本站聯系,我們將及時做相應處理;
3、歡迎各位網友光臨閱覽,文明上網,依法守規,IP可查。
作者 相關信息
內容 相關信息
警惕!近期Fortinet防火墻頻遭攻擊,疑似零日漏洞被利用
2025-01-16? 昆侖專題 ?
? 高端精神 ?
? 新征程 新任務 新前景 ?
? 習近平治國理政 理論與實踐 ?
? 國策建言 ?
? 國資國企改革 ?
? 雄安新區建設 ?
? 黨要管黨 從嚴治黨 ?
建言點贊
