零日漏洞针对 Fortinet FortiGate 防火墙

网络安全公司 Arctic Wolf 周五披露，威胁行为者最近在一次疑似零日攻击活动中针对管理界面暴露在公共互联网上的 Fortinet FortiGate 防火墙设备。

据 Arctic Wolf Labs 研究人员称，针对 Fortinet 防火墙的恶意活动始于 2024 年 11 月中旬。未知威胁参与者通过访问受影响防火墙上的管理界面并在受感染环境中使用 DCSync 提取凭据来更改防火墙配置。

Arctic Wolf 的安全研究人员表示：“该活动涉及防火墙管理界面上未经授权的管理登录、创建新帐户、通过这些帐户进行 SSL VPN 身份验证以及各种其他配置更改。”写道在上周发表的一篇博客文章中。

虽然该活动中使用的初始访问向量目前仍未知，但考虑到受影响组织的时间紧迫以及受影响的固件版本的范围，Arctic Wolf Labs 非常有信心零日漏洞的“大规模利用活动”是可能的。

受影响的固件版本主要为 7.0.14 和 7.0.16，分别于 2024 年 2 月和 2024 年 10 月发布。

Arctic Wolf Labs 目前已确定该活动在 2024 年 11 月至 2024 年 12 月期间针对易受攻击的 FortiGate 设备的四个独立攻击阶段：

第一阶段：漏洞扫描（2024年11月16日至2024年11月23日）

第二阶段：勘察（2024年11月22日至2024年11月27日）

第三阶段：SSL VPN配置（2024年12月4日至2024年12月7日）

第四阶段：横向调动（2024年12月16日至2024年12月27日）

在第一阶段，威胁行为者进行了漏洞扫描，并利用 jsconsole 会话与异常 IP 地址之间的连接，例如环回地址（例如 127.0.0.1）和流行的 DNS 解析器（包括 Google Public DNS 和 Cloudflare），从而使它们成为可能。威胁追踪的理想目标。

在侦察阶段，攻击者在多个受害组织中进行了首次未经授权的配置更改，以验证他们是否已成功获得对被利用防火墙进行更改的访问权限。

在活动的第三阶段，威胁行为者对受感染的设备进行了重大更改以建立 SSL VPN 访问。

在某些入侵中，他们创建了新的超级管理员帐户，而在其他入侵中，他们劫持了现有帐户以获得 SSL VPN 访问权限。威胁参与者还创建了新的 SSL VPN 门户，其中直接添加用户帐户。

在最后阶段，在受害者组织环境中成功获得 SSL VPN 访问权限后，威胁行为者使用 DCSync 技术提取横向移动的凭据。

据网络安全公司称，威胁行为者在继续行动之前已从受影响的系统中删除。

Artic Wolf Labs 于 2024 年 12 月 12 日向 Fortinet 通报了此次活动中观察到的活动。FortiGuard Labs PSIRT 于 2024 年 12 月 17 日确认，它已了解已知活动并正在积极调查该问题。

为了防范此类已知的安全问题，Artic Wolf Labs 建议组织立即禁用公共接口上的防火墙管理访问，并限制对受信任用户的访问。