近日，一場(chǎng)針對(duì)Fortinet防火墻的大規(guī)模攻擊悄然浮出水面。據(jù)德國(guó)媒體報(bào)道，超過(guò)1.5萬(wàn)個(gè)Fortinet Fortigate防火墻的配置文件及相關(guān)管理員和用戶憑據(jù)被泄露，不僅暴露了大量企業(yè)用戶的安全漏洞，也為整個(gè)網(wǎng)絡(luò)安全行業(yè)敲響了警鐘。

泄露數(shù)據(jù)被免費(fèi)公開

此次泄露的配置文件數(shù)據(jù)包于本周一被名為“Belsen_Group”的黑客組織在地下論壇免費(fèi)公開（題圖），據(jù)稱是為了打造該黑客組織在論壇用戶心目中的“人設(shè)”。泄露的1.6GB壓縮包內(nèi)含按國(guó)家分類的文件夾，每個(gè)文件夾下又有以IP地址命名的子文件夾，其中存放著完整的配置文件和記錄管理員及VPN用戶賬戶密碼的txt文檔。

德國(guó)新聞媒體Heise Online揭露，大多數(shù)FortiNet配置文件（共1603份），被攻擊者在墨西哥竊取，另有679份來(lái)自美國(guó)，208份來(lái)自德國(guó)。受影響的設(shè)備多位于公司和醫(yī)療機(jī)構(gòu)，涉及多達(dá)80種不同類型的設(shè)備，其中FortiGate Firewall 40F和60F最為常見，還包括WLAN網(wǎng)關(guān)以及適用于服務(wù)器機(jī)架安裝、桌面或清潔柜放置的緊湊型設(shè)備。

攻擊手法與漏洞利用

據(jù)多名研究人員分析，被盜配置文件的檔案可追溯至2022年10月，攻擊者疑似利用了FortiOS的身份驗(yàn)證繞過(guò)漏洞（CVE-2022–40684）來(lái)收集這些文件。安全研究員KevinBeaumont表示，他曾對(duì)一個(gè)受害組織的設(shè)備進(jìn)行事件響應(yīng)，確證攻擊是通過(guò)CVE-2022–40684實(shí)施的，并且他還能驗(yàn)證轉(zhuǎn)儲(chǔ)中看到的用戶名和密碼與設(shè)備上的詳細(xì)信息相匹配。

潛在風(fēng)險(xiǎn)與應(yīng)對(duì)措施

CloudSEK研究人員下載了該檔案，并編制了IP地址列表，供組織檢查其設(shè)備是否受影響。他們指出，用戶名和密碼（部分以明文形式）的曝光使攻擊者能夠直接訪問(wèn)敏感系統(tǒng)。即使企業(yè)用戶在2022年Fortigate發(fā)布補(bǔ)丁后修補(bǔ)了該CVE，仍需檢查入侵跡象，因?yàn)楫?dāng)時(shí)這是一個(gè)零日漏洞。

防火墻規(guī)則可能揭示內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，潛在地使攻擊者能夠繞過(guò)防御。此外，被入侵的數(shù)字證書可能允許未經(jīng)授權(quán)的設(shè)備訪問(wèn)或在安全通信中冒充身份。研究人員建議組織更新所有設(shè)備和VPN憑據(jù)，審查防火墻規(guī)則以查找可利用的弱點(diǎn)并加強(qiáng)訪問(wèn)控制，撤銷并更換所有暴露的數(shù)字證書以恢復(fù)安全通信，并最終進(jìn)行取證調(diào)查，以檢查設(shè)備是否曾被或仍被入侵。

據(jù)推測(cè)，Belsen Group可能在泄露前已將其出售給其他攻擊者。“Belsen Group在論壇上看似新面孔，但根據(jù)他們泄露的數(shù)據(jù)，我們非常確定該組織已存在至少3年。他們可能是一個(gè)曾在2022年利用零日漏洞的威脅團(tuán)體的一部分?！?/p>

事件反思與行業(yè)警示

此次Fortinet防火墻配置文件的大規(guī)模泄露事件，再次凸顯了零日漏洞安全風(fēng)險(xiǎn)的日益嚴(yán)峻，以及及時(shí)修補(bǔ)和持續(xù)監(jiān)測(cè)的重要性。

該事件再次敲響警鐘，企業(yè)需要高度重視網(wǎng)絡(luò)安全產(chǎn)品自身的安全漏洞風(fēng)險(xiǎn)，即使是最廣泛部署和信賴的安全設(shè)備，也可能因未知漏洞而成為攻擊的突破口。近年來(lái)包括Crowdstrike、思科、微軟等網(wǎng)絡(luò)安全巨頭頻頻爆出安全漏洞，給客戶造成巨大損失。僅Fortinet一家企業(yè)今年就發(fā)生了兩次大規(guī)模數(shù)據(jù)泄露，9月份黑客曾通過(guò)第三方存儲(chǔ)竊取了440GB的Fortinet客戶數(shù)據(jù)。此外，2021年黑客通過(guò)CVE-8-13379漏洞泄露了近50萬(wàn)個(gè)FortinetVPN賬戶憑證。

企業(yè)和組織必須保持高度警惕，定期更新和審查安全措施，同時(shí)加強(qiáng)員工的安全意識(shí)培訓(xùn)，以應(yīng)對(duì)不斷演變的網(wǎng)絡(luò)威脅。此外，此次事件也強(qiáng)調(diào)了與安全社區(qū)和安全廠商保持緊密合作的必要性，以便在新漏洞出現(xiàn)時(shí)迅速響應(yīng)并采取有效的防御策略。