美國、英國和澳大利亞等國的網(wǎng)絡(luò)安全機(jī)構(gòu)發(fā)布聯(lián)合聲明，稱疑似受伊朗政府資助的攻擊者，正在積極利用Fortinet和Microsoft Exchange ProxyShell的漏洞。

攻擊者利用漏洞獲得受害者系統(tǒng)初始訪問權(quán)限后，開始竊取數(shù)據(jù)和部署勒索軟件。

[[435923]]

漏洞“泛濫”多部門慘遭其害

據(jù)美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)、聯(lián)邦調(diào)查局(FBI)、澳大利亞網(wǎng)絡(luò)安全中心(ACSC)和英國國家網(wǎng)絡(luò)安全中心(NCSC)對受害網(wǎng)絡(luò)系統(tǒng)分析后稱，攻擊者利用的Fortinet FortiOS漏洞和影響微軟Exchange服務(wù)器的遠(yuǎn)程代碼執(zhí)行漏洞，可追溯到2021年3月。

黑客利用的漏洞清單如下：

• CVE-2021-34473(CVSS評分：9.1)--微軟Exchange服務(wù)器遠(yuǎn)程代碼執(zhí)行漏洞(又名 "ProxyShell");
• CVE-2020-12812 (CVSS評分：9.8) - FortiOS SSL VPN 2FA，通過改變用戶名大小寫繞過的漏洞;
• CVE-2019-5591(CVSS評分：6.5)--FortiGate，默認(rèn)配置未驗(yàn)證LDAP服務(wù)器身份;
• CVE-2018-13379(CVSS評分：9.8)--通過特制的HTTP資源請求;通過SSL VPN泄露FortiOS系統(tǒng)文件。

根據(jù)The Hacker News等媒體披露，遭受網(wǎng)絡(luò)攻擊的受害者眾多，其中受損嚴(yán)重的有澳大利亞的多家組織和美國多個(gè)關(guān)鍵基礎(chǔ)設(shè)施部門。

漏洞破壞力強(qiáng)大，專家建議立刻“扼殺”

CISA和FBI等部門的網(wǎng)絡(luò)安全專家通過分析攻擊者近期活動(dòng)，發(fā)現(xiàn)該組織異常活躍，不僅利用FortiOS 漏洞“訪問”易受攻擊的澳大利亞部分企業(yè)網(wǎng)絡(luò)，早在2021年5月就已經(jīng)利用 Fortigate 設(shè)備漏洞，對美國市政府托管的網(wǎng)絡(luò)服務(wù)器展開了網(wǎng)絡(luò)攻擊。

此事不久，該組織又利用 Fortigate 設(shè)備漏洞“訪問了”一家兒童醫(yī)療保健院的網(wǎng)絡(luò)空間。

為應(yīng)對攻擊者的持續(xù)性威脅，美國政府不得不第二次發(fā)布警告，提醒高級持續(xù)性威脅集團(tuán)正在利用CVE-2018-13379、CVE-2020-12812和CVE-2019-5591等漏洞破壞屬于政府和企業(yè)等實(shí)體的網(wǎng)絡(luò)系統(tǒng)。

網(wǎng)絡(luò)安全專家建議企業(yè)、政府部門應(yīng)立即修補(bǔ)受上述漏洞影響的軟件，執(zhí)行數(shù)據(jù)備份和恢復(fù)程序、實(shí)施網(wǎng)絡(luò)分段、使用多因素認(rèn)證保護(hù)賬戶，及時(shí)更新系統(tǒng)、軟件和固件，切實(shí)保護(hù)好自身網(wǎng)絡(luò)安全。

參考文章：https://thehackernews.com/2021/11/us-uk-and-australia-warn-of-iranian.html