近期,研究人员发现一个新的勒索软件团伙正在迅速利用Fortinet防火墙中两个身份验证绕过漏洞。根据Forescout的报告,该团伙被称为Mora001,利用未修补的防火墙部署了一种新型勒索软件,名为SuperBlack,其特征与LockBit 30也称作LockBit Black相似。
尽管这些漏洞可能是零日安全漏洞,且攻击者能够快速获得概念验证的攻击方法,但报告中描述的攻击表明,安全防御者若采取基本的网络安全措施,仍然能够发现并减轻这些攻击。
在Forescout调查的事件中,成功被攻击的防火墙管理接口暴露在互联网上。
教训:尽可能禁用防火墙的外部管理访问。
截至3月12日,Forescout表示,美国有7677个FortiGate设备管理接口暴露,印度有5536个,巴西有3201个。
在一起事件中,攻击者创建了一个名为“adnimistrator”的新管理员账户。
教训:监控所有管理员账户的变更。清楚所有应用程序和设备中有多少个管理员账户,账户数量的变更可疑,拼写错误的账户名更是可疑。
当防火墙具有VPN功能时,攻击者创建了模仿合法账户名称的新本地VPN用户账户,后面加了一个数字。这些新创建的用户随后被加入到VPN用户组中,允许未来的登录。Forescout总结认为,这一策略可能旨在避免在常规管理审查中被发现,并保持持续访问,即使最初的进入点被发现。攻击者随后为新创建的用户手动分配了密码。
教训:见教训2。
海鸥加速器正版官网最新版攻击者即便拥有零日漏洞,也不意味着你的IT基础设施毫无防御。相反,深层防御显著降低了被攻破的风险。
“好消息是,Fortinet之前发布的修补程序应该能够解决这两个漏洞。”Arctic Wolf首席威胁情报研究员Stefan Hostetler在一封邮件中表示,“最新报告显示,攻击者正针对未能及时应用修补或未能加强防火墙配置的剩余组织。”
根据Forescout,关于漏洞CVE202455591和CVE202524472被利用的首个迹象出现在去年11月底/12月初。Fortinet在1月14日发布了建议。攻击者可以利用的漏洞概念验证于1月27日发布。
Forescout从1月31日开始观察到客户中出现入侵。Fortinet在2月11日将CVE202524472纳入初始建议中。
Forescout在其分析中指出,该威胁演员展现出一种独特的操作特征,结合了机会主义攻击和与LockBit生态系统的联系。
“Mora001与更广泛的LockBit勒索软件操作的关系突显了现代勒索软件环境的复杂性专门团队之间合作以利用互补的能力。”
首席信息安全官应注意Forescout调查中一致的后期利用模式,包括:
在多个受害者网络中创建相同的用户名;在初始访问、后期利用和指挥控制C2操作中使用重叠的IP地址;在被攻陷的环境中相似的配置备份行为;在条件有利时,快速部署勒索软件,通常在48小时内,而在安全控制较严格的环境中则会进行较长时间的侦查。CVE202455591和CVE202524472允许未经身份验证的攻击者在
