駭客正在銷售最新Fortinet漏洞的存取方式
稍早發現的Fortinet網路設備軟體漏洞已經有駭客公開販售存取的方法。
它是HTTP/HTTPS管理介面的驗證繞過漏洞,可被遠端濫用,風險值列為9.6,屬於重大風險。這項漏洞影響多項產品,包括FortiOS、FortiProxy和FortiSwitchManager。
Fortinet當時提醒用戶應儘速更新,因為公開前已經遭到濫用。如今專門監控暗網上犯罪活動及漏洞情報的廠商Cyble發現,俄羅斯地下網路論壇上,已經有人公開張貼訊息,以銷售存取Fortinet VPN裝置的憑證資訊。
Cyble發現的是「多個」未授權FortiOS裝置的存取資訊,包括網址、管理員用戶的SSH Key。分析這些存取資訊顯示,攻擊者企圖將公開金鑰加入到受害企業管理員帳號中,藉此冒充管理員存取Fortinet設備。根據資料,這些受害企業用的都是過時版本的FortiOS。研究人員相信,張貼廣告的攻擊者應該是對CVE-2022-40684發動攻擊。
透過冒充Fortinet管理員,攻擊者可修改管理SSH金鑰、新增本機用戶、修改網路配置變更流量路徑、下載系統配置資訊、抓取封包擷取其他敏感系統或網路資訊,再於暗網銷售。
Cyble研究人員指出,針對Fortinet執行個體的攻擊行動,從10月17日起就持續至今。這個時間點大約等同Fortinet第一波悄悄發通知用戶更新軟體的時間。
研究人員呼籲用戶儘速安裝修補程式,因為網路上已公開的概念驗證(PoC)程式及自動化工具,讓攻擊者在漏洞公布幾天之內就能發動攻擊。
