網(wǎng)絡(luò)安全研究人員近日發(fā)現(xiàn)，針對(duì)Fortinet FortiGate防火墻設(shè)備的新一輪攻擊活動(dòng)正在展開(kāi)，這些設(shè)備的管理接口暴露在公共互聯(lián)網(wǎng)上，成為攻擊者的目標(biāo)。

網(wǎng)絡(luò)安全公司Arctic Wolf在上周發(fā)布的分析報(bào)告中指出：“此次攻擊活動(dòng)涉及未經(jīng)授權(quán)的管理接口登錄、創(chuàng)建新賬戶、通過(guò)這些賬戶進(jìn)行SSL VPN認(rèn)證，以及其他各種配置更改?！?/p>

攻擊活動(dòng)的時(shí)間線與手法

據(jù)信，此次惡意活動(dòng)始于2024年11月中旬，攻擊者通過(guò)未經(jīng)授權(quán)的方式訪問(wèn)受影響防火墻的管理接口，修改配置并利用DCSync技術(shù)提取憑證。盡管具體的初始攻擊途徑尚不明確，但研究人員“高度確信”攻擊者可能利用了零日漏洞，因?yàn)椤笆苡绊懡M織和固件版本的時(shí)間線高度壓縮”。

受影響的設(shè)備固件版本介于7.0.14至7.0.16之間，這些版本分別于2024年2月和10月發(fā)布。攻擊活動(dòng)分為四個(gè)階段，從2024年11月16日左右開(kāi)始，攻擊者逐步從漏洞掃描和偵察轉(zhuǎn)向配置更改和橫向移動(dòng)。

Arctic Wolf的研究人員表示：“與合法的防火墻活動(dòng)相比，這些活動(dòng)的顯著特點(diǎn)是攻擊者從少數(shù)異常IP地址廣泛使用了jsconsole接口。鑒于不同入侵事件中手法和基礎(chǔ)設(shè)施的細(xì)微差異，可能有多個(gè)個(gè)人或團(tuán)體參與了此次攻擊活動(dòng)，但jsconsole的使用是貫穿始終的共同點(diǎn)。”

攻擊者的具體操作

簡(jiǎn)而言之，攻擊者通過(guò)登錄防火墻管理接口進(jìn)行配置更改，包括將輸出設(shè)置從“標(biāo)準(zhǔn)”修改為“更多”，作為早期偵察的一部分。隨后，在2024年12月初，攻擊者進(jìn)行了更廣泛的更改，創(chuàng)建了新的超級(jí)管理員賬戶。

這些新創(chuàng)建的超級(jí)管理員賬戶隨后被用于設(shè)置多達(dá)六個(gè)新的本地用戶賬戶，并將它們添加到受害組織先前為SSL VPN訪問(wèn)創(chuàng)建的現(xiàn)有組中。在其他事件中，攻擊者還劫持了現(xiàn)有賬戶，并將它們添加到具有VPN訪問(wèn)權(quán)限的組中。

Arctic Wolf指出：“攻擊者還被觀察到創(chuàng)建了新的SSL VPN門戶，并直接將用戶賬戶添加到其中。完成必要的更改后，攻擊者與受影響的設(shè)備建立了SSL VPN隧道。所有隧道的客戶端IP地址均來(lái)自少數(shù)VPS托管提供商?！?/p>

攻擊的最終目標(biāo)與防御建議

此次攻擊活動(dòng)的高潮是攻擊者利用SSL VPN訪問(wèn)權(quán)限，通過(guò)DCSync技術(shù)提取憑證以進(jìn)行橫向移動(dòng)。然而，由于攻擊者在進(jìn)入下一階段之前被從受感染環(huán)境中清除，目前尚不清楚他們的最終目標(biāo)是什么。

為了降低此類風(fēng)險(xiǎn)，組織應(yīng)避免將防火墻管理接口暴露在互聯(lián)網(wǎng)上，并限制僅允許受信任的用戶訪問(wèn)。Arctic Wolf表示：“此次攻擊活動(dòng)的受害者并不局限于特定行業(yè)或組織規(guī)模。受害者組織類型的多樣性以及自動(dòng)化登錄/注銷事件的出現(xiàn)表明，攻擊者的目標(biāo)具有機(jī)會(huì)主義性質(zhì)，而非經(jīng)過(guò)精心策劃?！?/p>

總之，此次攻擊活動(dòng)再次提醒我們，暴露在互聯(lián)網(wǎng)上的管理接口可能成為攻擊者的突破口，組織應(yīng)采取嚴(yán)格的訪問(wèn)控制措施，以防止類似事件的發(fā)生。