網絡安全公司 Arctic Wolf 週五披露,威脅行為者最近在一次疑似零日攻擊活動中針對管理界面暴露在公共互聯網上的 Fortinet FortiGate 防火牆設備。
據 Arctic Wolf Labs 研究人員稱,針對 Fortinet 防火牆的惡意活動始於 2024 年 11 月中旬。未知威脅參與者通過訪問受影響防火牆上的管理界面並在受感染環境中使用 DCSync 提取憑據來更改防火牆配置。
Arctic Wolf 的安全研究人員表示:“該活動涉及防火牆管理界面上未經授權的管理登錄、創建新帳戶、通過這些帳戶進行 SSL VPN 身份驗證以及各種其他配置更改。”寫了在上週發表的一篇博客文章中。
雖然該活動中使用的初始訪問向量目前仍未知,但考慮到受影響組織的時間緊迫以及受影響的固件版本的範圍,Arctic Wolf Labs 非常有信心零日漏洞的“大規模利用活動”是可能的。
受影響的固件版本主要為 7.0.14 和 7.0.16,分別於 2024 年 2 月和 2024 年 10 月發布。
Arctic Wolf Labs 目前已確定該活動在 2024 年 11 月至 2024 年 12 月期間針對易受攻擊的 FortiGate 設備的四個獨立攻擊階段:
第一階段:漏洞掃描(2024年11月16日至2024年11月23日)
第二階段:勘察(2024年11月22日至2024年11月27日)
第三階段:SSL VPN配置(2024年12月4日至2024年12月7日)
第四階段:橫向調動(2024年12月16日至2024年12月27日)
在第一階段,威脅行為者進行了漏洞掃描,並利用 jsconsole 會話與異常 IP 地址之間的連接,例如環回地址(例如 127.0.0.1)和流行的 DNS 解析器(包括 Google Public DNS 和 Cloudflare),使它們成為威脅狩獵的理想目標。
在偵察階段,攻擊者在多個受害組織中進行了首次未經授權的配置更改,以驗證他們是否已成功獲得對被利用防火牆進行更改的訪問權限。
在活動的第三階段,威脅行為者對受感染的設備進行了重大更改以建立 SSL VPN 訪問。
在某些入侵中,他們創建了新的超級管理員帳戶,而在其他入侵中,他們劫持了現有帳戶以獲得 SSL VPN 訪問權限。威脅參與者還創建了新的 SSL VPN 門戶,其中直接添加用戶帳戶。
在最後階段,在受害者組織環境中成功獲得 SSL VPN 訪問權限後,威脅行為者使用 DCSync 技術提取橫向移動的憑據。
據網絡安全公司稱,威脅行為者在繼續行動之前已從受影響的系統中刪除。
Artic Wolf Labs 於 2024 年 12 月 12 日向 Fortinet 通報了此次活動中觀察到的活動。 FortiGuard Labs PSIRT 於 2024 年 12 月 17 日確認,它已了解已知活動並正在積極調查該問題。
為了防範此類已知的安全問題,Artic Wolf Labs 建議組織立即禁用公共接口上的防火牆管理訪問,並限制對受信任用戶的訪問。
它還建議定期將防火牆設備上的固件升級到最新版本,以防止已知漏洞。
![2025 年 11 款最佳遊戲 DNS 伺服器 [ 最快 ]](https://webbedxp.com/tech/kourtney/wp-content/uploads/2018/12/dnsserversforgamingcover.jpg)
