美國政府警告Fortinet軟體漏洞恐遭國家駭客開採
影響版本:
CVE-2018-13379
Fortinet FortiOS 6.0.0 to 6.0.4, 5.6.3 to 5.6.7 and 5.4.6 to 5.4.12
CVE-2020-12812
FortiOS 6.4.0, 6.2.0 to 6.2.3, 6.0.9
FBI及CISA發現有國家支持的駭客組織,正在針對尚未修補Fortinet軟體已知漏洞的使用單位發動滲透攻擊
國家駭客威脅不斷,繼SolarWinds、微軟Exchange Server之後,美國政府周末警告,網路安全設備商Fortinet軟體三項漏洞正遭國家支持的駭客掃瞄及開採,預示未來的攻擊行動。
美國聯邦調查局(FBI)及網路安全暨基礎架構安全管理署(CISA)指出,他們觀察到一個進階滲透威脅(Advanced Persistent Threat,APT)組織正在掃瞄Fortinet的傳輸埠4443、8443、10443,尋找作業系統軟體FortiOS上的漏洞CVE-2018-13379,並針對Fortinet裝置進行列舉分析(enumerate),以開採CVE-2019-5591和CVE-2020-12812。已有多家政府、商業組織及ISP遭到鎖定。
三項漏洞之中,CVE-2018-13379允許駭客解讀系統檔案,進而發現儲存的明文密碼,再登入系統。CVE-2019-5591可讓駭客在子網域下設立假LDAP伺服器來攔截重要資訊,CVE-2020-12812則讓攻擊者繞過多因素驗證,而和主系統建立SSL VPN連線。
傳統上,APT駭客攻擊已知重大漏洞,可能的行動包括分散式阻斷服務(DDoS)、勒索軟體、資料隱碼攻擊、魚叉式釣魚攻擊、置換網頁圖文或製造假資訊。
在FortiOS的攻擊中,FBI及CISA相信APT攻擊者可能計畫利用其中之一或所有三項漏洞駭入企業多種基礎架構設備,藉此存取主要網路,再以此為起點,日後發動資料外洩或資料加密攻擊,他們也可能利用其他漏洞或魚叉式網路釣魚(spearphishing)等常見開採手法,駭入基礎架構網路為未來行動做準備。
去年11月安全廠商在駭客論壇上發現,有人兜售約5萬個含有CVE-2018-13379漏洞的Fortinet SSL VPN IP位址,極可能引發這波攻擊。
FBI和CISA呼籲政府及民間組織應儘速修補這三項漏洞。若沒有使用FortiOS者,則應將FortiOS的主要產出(artifact)檔案加入封鎖清單,防止任何安裝或執行程式或相關檔案的行為。
其他建議措施則旨在防止資料被刪改,系統被非法存取或安裝軟體,像是做好資料備份、敏感資料復原計畫,實行網路隔離、關閉未使用的RDP傳輸埠,限制主要系統的修改、刪除及軟體安裝,定期變更密碼,稽核用戶帳號權限等,及使用多因素驗證(multi-factor authentication)。
CVE-2018-13379
An Improper Limitation of a Pathname to a Restricted Directory (“Path Traversal") in Fortinet FortiOS 6.0.0 to 6.0.4, 5.6.3 to 5.6.7 and 5.4.6 to 5.4.12 under SSL VPN web portal allows an unauthenticated attacker to download system files via special crafted HTTP resource requests.
CVE-2020-12812
An improper authentication vulnerability in SSL VPN in FortiOS 6.4.0, 6.2.0 to 6.2.3, 6.0.9 and below may result in a user being able to log in successfully without being prompted for the second factor of authentication (FortiToken) if they changed the case of their username.
資料來源: https://www.ithome.com.tw/news/143629