安全研究人員發(fā)現(xiàn),這些Fortinet VPN設(shè)備的IP分布在全球各地,其中位于中國(guó)(大陸+臺(tái)灣)的設(shè)備占比11.89%。
-
日前,有攻擊者在黑客論壇放出了一份近50萬(wàn)條Fortinet VPN設(shè)備登錄憑證清單,據(jù)分析里邊包含12856臺(tái)設(shè)備上的498908名用戶(hù)的VPN登錄憑證;
-
安全研究人員發(fā)現(xiàn),這些Fortinet VPN設(shè)備的IP分布在全球各地,其中位于中國(guó)(大陸+臺(tái)灣)的設(shè)備占比11.89%,臺(tái)灣占比8.45%,大陸占比3.44%;
-
掌握VPN憑證的攻擊者很可能訪(fǎng)問(wèn)目標(biāo)網(wǎng)絡(luò),進(jìn)而實(shí)施數(shù)據(jù)竊取、惡意軟件安裝與勒索軟件攻擊等活動(dòng)。
日前,一名威脅行為者泄露了一份包含近50萬(wàn)條Fortinet VPN登錄名與密碼的龐大清單,據(jù)稱(chēng)這些名稱(chēng)與密碼竊取自去年夏天的一次網(wǎng)絡(luò)入侵活動(dòng)。
威脅行為者表示,當(dāng)時(shí)利用的Fortinet漏洞已被修復(fù),但其中相當(dāng)一部分VPN憑證仍然真實(shí)有效。
此次泄露后果嚴(yán)重,掌握VPN憑證的攻擊者很可能訪(fǎng)問(wèn)目標(biāo)網(wǎng)絡(luò),進(jìn)而實(shí)施數(shù)據(jù)竊取、惡意軟件安裝與勒索軟件攻擊等活動(dòng)。
Fortinet憑證被公布在黑客論壇之上
這次泄露的Fortinet憑證清單來(lái)自一名昵稱(chēng)為“Orange”的攻擊者,他也是新近上線(xiàn)的RAMP黑客論壇的管理員以及Babuk勒索軟件團(tuán)伙的前任成員。
在與Babuk團(tuán)伙的其他成員發(fā)生爭(zhēng)執(zhí)之后,Orange決定分道揚(yáng)鑣并成立RAMP,如今已經(jīng)成為新的Groove勒索軟件團(tuán)伙的代表。
昨天,這名攻擊者在RAMP上發(fā)了個(gè)新帖,其中包含一條據(jù)稱(chēng)指向數(shù)千個(gè)Fortinet VPN賬戶(hù)文件的鏈接。
RAMP黑客論壇上的帖子
與此同時(shí),Groove勒索軟件的數(shù)據(jù)泄露站點(diǎn)上也出現(xiàn)了一篇帖子,宣稱(chēng)已經(jīng)有大批Fortiner VPN外泄。
在Groove數(shù)據(jù)泄露站點(diǎn)上發(fā)布的Fortinet憑證相關(guān)信息
這兩篇帖子都指向Groove團(tuán)伙用于托管被盜文件的Tor存儲(chǔ)服務(wù)器上的同一個(gè)文件,目的自然是逼迫勒索攻擊受害者支付贖金。
根據(jù)對(duì)這個(gè)文件的分析,我們發(fā)現(xiàn)其中包含12856臺(tái)設(shè)備上的498908名用戶(hù)的VPN憑證。
雖然我們還沒(méi)有測(cè)試這些泄露憑證是否有效,但至少可以確定被抽樣的所有IP地址均來(lái)自Fortinet VPN服務(wù)器。
安全廠(chǎng)商Advanced Intel的進(jìn)一步分析表明,這些IP地址來(lái)自全球各地的多臺(tái)設(shè)備,其中有2959臺(tái)位于美國(guó)。
泄露的Fortinet服務(wù)器的地理分布情況,中國(guó)臺(tái)灣和大陸的占比較高
Kremez在采訪(fǎng)中表示,這些憑證的外泄源自Fortinet曝出的CVE-2018-13379漏洞。
一位網(wǎng)絡(luò)安全行業(yè)的消息人士告訴我們,他們已經(jīng)完成了合法驗(yàn)證,可以證明其中至少一部分泄露的憑證真實(shí)有效。
目前還不清楚攻擊者為什么要公開(kāi)憑證、而不是自行使用,但據(jù)信這么做是為了宣傳RAMP黑客論壇,并幫助Groove勒索軟件即服務(wù)打開(kāi)市場(chǎng)。
Advanced Intel CTO Vitali Kremez在采訪(fǎng)中表示,“我們有一定的信心認(rèn)為,這一波信息VPN SSL泄露很可能是為了宣傳新的RAMP勒索軟件論壇,這份清單就是給那些想搞勒索軟件攻擊的潛在用戶(hù)們的「免費(fèi)贈(zèng)品」。”
Groove是一股相對(duì)較新的勒索軟件勢(shì)力,此次泄露的數(shù)據(jù)中出現(xiàn)了他們的一位受害者。但通過(guò)向網(wǎng)絡(luò)犯罪社區(qū)提供免費(fèi)贈(zèng)品,他們可能希望能將其他攻擊者招募到自己的附屬體系當(dāng)中。
Fortinet VPN服務(wù)器管理員該如何應(yīng)對(duì)?
雖然無(wú)法合法驗(yàn)證憑證清單,但作為Fortinet VPN服務(wù)器管理員,大家應(yīng)當(dāng)假設(shè)此次泄露的憑證真實(shí)有效并及時(shí)采取預(yù)防措施。
具體預(yù)防措施包括強(qiáng)制重置所有用戶(hù)密碼以確保安全,并檢查日志以驗(yàn)證是否已經(jīng)遭到入侵。
若有任何可疑之處,請(qǐng)保證安裝最新補(bǔ)丁并進(jìn)一步徹底調(diào)查,同時(shí)立即對(duì)用戶(hù)密碼進(jìn)行重置。
Fortinet確認(rèn),已于2019年公布CVE-2018-13379等漏洞的信息與修復(fù)方案。
參考來(lái)源:https://www.bleepingcomputer.com/news/security/hackers-leak-passwords-for-500-000-fortinet-vpn-accounts/