網路安全公司 Arctic Wolf 週五披露,威脅行為者最近在一次疑似零日攻擊活動中針對管理介面暴露在公共互聯網上的 Fortinet FortiGate 防火牆設備。
據 Arctic Wolf Labs 研究人員稱,針對 Fortinet 防火牆的惡意活動始於 2024 年 11 月中旬。
Arctic Wolf 的安全研究人員表示:“該活動涉及防火牆管理介面上未經授權的管理登入、建立新帳戶、透過這些帳戶進行 SSL VPN 驗證以及各種其他設定變更。”寫道在上週發表的一篇部落格文章中。
雖然活動中使用的初始存取向量目前仍未知,但考慮到受影響組織的時間緊迫以及受影響的韌體版本的範圍,Arctic Wolf Labs 非常有信心零日漏洞的「大規模利用活動」是可能的。
受影響的韌體版本主要為 7.0.14 和 7.0.16,分別於 2024 年 2 月和 2024 年 10 月發布。
Arctic Wolf Labs 目前已確定該活動在 2024 年 11 月至 2024 年 12 月期間針對易受攻擊的 FortiGate 設備的四個獨立攻擊階段:
第一階段:漏洞掃描(2024年11月16日至2024年11月23日)
第二階段:勘察(2024年11月22日至2024年11月27日)
第三階段:SSL VPN設定(2024年12月4日至2024年12月7日)
第四階段:橫向調動(2024年12月16日至2024年12月27日)
在第一階段,威脅行為者進行了漏洞掃描,並利用jsconsole 會話與異常IP 位址之間的連接,例如環回位址(例如127.0.0.1)和流行的DNS 解析器(包括Google Public DNS 和Cloudflare) ,從而使它們成為可能。
在偵察階段,攻擊者在多個受害組織中進行了首次未經授權的配置更改,以驗證他們是否已成功獲得對被利用防火牆進行更改的存取權限。
在活動的第三階段,威脅行為者對受感染的裝置進行了重大更改以建立 SSL VPN 存取。
在某些入侵中,他們創建了新的超級管理員帳戶,而在其他入侵中,他們劫持了現有帳戶以獲得 SSL VPN 存取權。威脅參與者還創建了新的 SSL VPN 門戶,其中直接新增使用者帳戶。
在最後階段,在受害者組織環境中成功獲得 SSL VPN 存取權限後,威脅行為者使用 DCSync 技術提取橫向移動的憑證。
據網路安全公司稱,威脅行為者在繼續行動之前已從受影響的系統中刪除。
Artic Wolf Labs 於 2024 年 12 月 12 日向 Fortinet 通報了此次活動中觀察到的活動。
為了防範此類已知的安全問題,Artic Wolf Labs 建議組織立即停用公共介面上的防火牆管理訪問,並限制對受信任用戶的存取。
它還建議定期將防火牆設備上的韌體升級到最新版本,以防止已知漏洞。
