網絡安全公司Arctic Wolf週五透露,威脅性參與者最近將Fortinet Fortigate Fortigate Firewall設備的目標定位在公共互聯網上,以涉嫌零日活動暴露在公共互聯網上。
根據北極狼實驗室的研究人員的說法,針對Fortinet防火牆的惡意活動始於2024年11月中旬。未知的威脅參與者通過訪問受影響的防火牆的管理接口並在受損環境中使用DCSYNC提取憑據,從而改變了防火牆配置。
“該活動涉及在防火牆的管理接口,創建新帳戶,通過這些帳戶的SSL VPN身份驗證以及各種其他配置更改的管理界面的未經授權的行政登錄,” Arctic Wolf的安全研究人員寫在上週發表的博客文章中。
儘管目前在此廣告系列中使用的初始訪問向量仍然未知,但北極狼實驗室非常有信心考慮到零日漏洞的“大規模開發活動”,考慮到受影響組織的狹窄時間表以及受影響的固件版本的範圍。
固件版本的範圍為7.0.14和7.0.16,主要受到影響,分別於2024年2月和2024年10月發布。
北極狼實驗室目前已經確定了該活動的四個單獨的攻擊階段,這些攻擊階段針對2024年11月至2024年12月之間的易受傷害的Fortigate設備:
階段1:脆弱性掃描(2024年11月16日至2024年11月23日)
階段2:偵察(2024年11月22日至2024年11月27日)
階段3:SSL VPN配置(2024年12月4日至2024年12月7日)
第4階段:橫向運動(2024年12月16日至2024年12月27日)
在第一階段,威脅參與者進行了脆弱性掃描,並利用了與不尋常的IP地址連接的JSConsole會話,例如環回地址(例如,127.0.0.1.1)和流行的DNS解析器以及包括Google Public DNS和Cloudflare在內的流行DNS解析器,使其成為威脅狩獵的理想目標。
在偵察階段,攻擊者對幾個受害者組織進行了第一個未經授權的配置更改,以驗證他們是否成功地獲得了對被剝削的防火牆進行更改的訪問權限。
在活動的第三階段,威脅行為者對設備妥協的設備進行了重大更改,以建立SSL VPN訪問。
在某些侵犯中,他們創建了新的超級管理員帳戶,而在其他方面,他們劫持了現有帳戶以獲得SSL VPN訪問。威脅參與者還創建了新的SSL VPN門戶網站,直接添加用戶帳戶。
在最後階段,在成功獲得受害者組織環境中的SSL VPN訪問之後,威脅參與者使用DCSYNC技術來提取憑證以進行橫向運動。
根據網絡安全公司的說法,威脅行為者在繼續進行之前已將其從受影響的系統中刪除。
Artic Wolf Labs通知Fortinet有關2024年12月12日這項活動中觀察到的活動。FortiguardLabs Psirt於2024年12月17日證實,它已經意識到已知的活動,並正在積極調查該問題。
為了保護這種已知的安全問題,Artic Wolf Labs建議組織立即禁用其在公共接口上的防火牆管理訪問權限,並限制對受信任用戶的訪問。
它還建議定期將防火牆設備上的固件升級到最新版本,以防止已知漏洞。
