更新
美国联邦调查局(FBI)和网络安全与基础设施安全局(CISA)警告称,国家级高级持续威胁(APT)行为者正在积极利用Fortinet FortiOS网络安全操作系统中的已知安全漏洞,影响该公司的SSL VPN产品。
根据FBI和CISA于周五发布的警报,网络攻击者正在扫描4443、8443和10443端口上的设备,寻找未打补丁的Fortinet安全实施。具体来说,APT正在利用CVE-2018-13379、CVE-2019-5591和CVE-2020-12812三个漏洞。
“APT行为者很可能在扫描这些漏洞,以获取对多个政府、商业和技术服务网络的访问权限,”警报中指出。“APT行为者历史上利用关键漏洞进行分布式拒绝服务(DDoS)攻击、勒索软件攻击、结构化查询语言(SQL)注入攻击、网络钓鱼活动、网站篡改和虚假信息传播。”
漏洞详细信息
CVE-2018-13379
这个漏洞是Fortinet FortiOS中的路径遍历问题,SSL VPN网页门户允许未经过身份验证的攻击者通过特制的HTTP资源请求下载系统文件。
CVE-2019-5591
这个缺陷是FortiOS中的默认配置漏洞,可能允许同一子网内的未认证攻击者通过伪装成LDAP服务器来拦截敏感信息。
CVE-2020-12812
最后,CVE-2020-12812是SSL VPN中的不当认证漏洞,可能允许用户在未被提示输入第二因素(FortiToken)的情况下成功登录,只需更改用户名的大小写。
网络攻击者的目标
“攻击者越来越多地针对关键外部应用程序——VPN在过去一年中受到的攻击尤为严重,”Horizon3.AI的高级红队工程师Zach Hanley在电子邮件中表示。“这三个针对Fortinet VPN的漏洞使攻击者能够获取有效凭证,绕过多因素认证(MFA),并对认证流量进行中间人攻击(MITM)以截取凭证。”
Hanley补充道:“共同主题是:一旦他们成功,他们将看起来像你的正常用户。”
研究人员指出,由于Fortinet的广泛应用,这些漏洞在网络攻击者中非常受欢迎。
应对措施
FBI和CISA建议组织采取一系列最佳实践,以帮助抵御这些及其他攻击:
- 立即修补CVE-2018-13379、CVE-2019-5591和CVE-2020-12812。
- 如果您的组织不使用FortiOS,请将FortiOS使用的关键文档文件添加到组织的执行拒绝列表中。 任何尝试安装或运行该程序及其关联文件的行为都应予以阻止。
- 定期备份数据,确保离线备份副本的安全。 确保关键数据的副本无法从数据所在的主系统进行修改或删除。
- 实施网络分段。
- 要求管理员凭证以安装软件。
- 实施恢复计划,以从物理分离、分段和安全的位置恢复敏感或专有数据(例如,硬盘、存储设备、云端)。
- 尽快安装更新/补丁操作系统、软件和固件。
- 尽可能使用多因素认证。
- 定期更改网络系统和账户的密码,避免为不同账户重复使用密码。 实施最短可接受的密码更改时间框架。
- 禁用未使用的远程访问/远程桌面协议(RDP)端口,并监控远程访问/RDP日志。
- 审核具有管理权限的用户账户,并以最小权限原则配置访问控制。
- 在所有主机上安装并定期更新防病毒和反恶意软件软件。
- 考虑在外部收到的电子邮件中添加邮件横幅。
- 禁用收到电子邮件中的超链接。
- 关注意识和培训。 为用户提供信息安全原则和技巧的培训,特别是识别和避免网络钓鱼邮件的技巧。
总结
Fortinet SSL VPN的安全漏洞提醒我们,网络安全是一个持续的挑战。组织应优先修补已知漏洞,并采取必要的安全措施来保护其网络免受潜在的网络攻击。
