一名威脅行為者泄露了超過15000臺Fortinet Fortigate防火墻的配置文件(又稱配置)以及相關(guān)的管理員和用戶憑據(jù)。

該數(shù)據(jù)集于周一泄露，并由自稱“Belsen_Group”的威脅行為者在一個地下論壇上公開，據(jù)說是為了免費(fèi)提供，以鞏固該組織在論壇用戶心中的形象。

泄露的1.6 GB存檔包含按國家排序的文件夾，每個文件夾內(nèi)都有以IP地址命名的子文件夾，這些子文件夾中包含完整的配置文件和一個包含管理員和VPN用戶憑據(jù)列表的txt文件。

“德國新聞機(jī)構(gòu)Heise Online透露，大部分FortiNet配置，即1603份，是在墨西哥被攻擊者捕獲的，美國有679份，德國有208份?！?

他們發(fā)現(xiàn)，許多受影響的設(shè)備顯然位于公司和醫(yī)療機(jī)構(gòu)中?！皵?shù)據(jù)泄露中涉及多達(dá)80種不同的設(shè)備類型，其中FortiGate防火墻40F和60F最為普遍。此外，還有WLAN網(wǎng)關(guān)和服務(wù)器機(jī)架安裝設(shè)備，以及用于辦公桌或清潔柜的緊湊型設(shè)備。”

該怎么辦?

據(jù)多位研究人員稱，包含被盜配置文件的存檔可追溯到2022年10月，據(jù)信攻擊者利用了一個FortiOS身份驗(yàn)證繞過漏洞(CVE-2022–40684)來組裝該存檔。

“我在一家受害企業(yè)的一臺設(shè)備上進(jìn)行了事件響應(yīng)，根據(jù)設(shè)備上的痕跡，確認(rèn)攻擊確實(shí)是通過CVE-2022–40684進(jìn)行的，我還能夠驗(yàn)證轉(zhuǎn)儲中看到的用戶名和密碼與設(shè)備上的詳細(xì)信息匹配?！卑踩芯咳藛TKevin Beaumont分享道。

CloudSEK研究人員已下載該存檔，并編譯了企業(yè)可以用來檢查其設(shè)備是否在受影響設(shè)備之列的IP地址列表。

“用戶名和密碼(部分以明文形式)的暴露使攻擊者能夠直接訪問敏感系統(tǒng)，即使企業(yè)在2022年Fortigate發(fā)布補(bǔ)丁后修復(fù)了這個CVE，他們?nèi)孕铏z查是否存在被入侵的跡象，因?yàn)檫@是一個零日漏洞?！毖芯咳藛T指出。

他們補(bǔ)充道，防火墻規(guī)則可能會泄露內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，從而可能使攻擊者繞過防御?！氨恍孤兜臄?shù)字證書可能會導(dǎo)致未經(jīng)授權(quán)的設(shè)備訪問或在安全通信中進(jìn)行冒充?！?

他們建議企業(yè)更新所有設(shè)備和VPN憑據(jù)，審查防火墻規(guī)則中的可利用弱點(diǎn)并加強(qiáng)訪問控制，撤銷并替換所有暴露的數(shù)字證書以恢復(fù)安全通信，最后進(jìn)行法醫(yī)調(diào)查，以檢查設(shè)備是否曾經(jīng)或仍然被入侵。

他們認(rèn)為，Belsen Group在泄露信息之前，可能已經(jīng)自己使用了這些信息，或?qū)⑵涑鍪劢o了其他攻擊者。

“Belsen Group在論壇上可能看似是個新面孔，但根據(jù)他們泄露的數(shù)據(jù)，我們可以非常有信心地確定，他們至少已經(jīng)存在3年了，他們很可能是2022年利用零日漏洞的威脅組織的一部分，盡管尚未確定其直接隸屬關(guān)系?！彼麄兛偨Y(jié)道。