網(wǎng)絡安全研究人員近日發(fā)現(xiàn)，針對Fortinet FortiGate防火墻設備的新一輪攻擊活動正在展開，這些設備的管理接口暴露在公共互聯(lián)網(wǎng)上，成為攻擊者的目標。

網(wǎng)絡安全公司Arctic Wolf在上周發(fā)布的分析報告中指出：“此次攻擊活動涉及未經(jīng)授權(quán)的管理接口登錄、創(chuàng)建新賬戶、通過這些賬戶進行SSL VPN認證，以及其他各種配置更改?！?/p>

攻擊活動的時間線與手法

據(jù)信，此次惡意活動始于2024年11月中旬，攻擊者通過未經(jīng)授權(quán)的方式訪問受影響防火墻的管理接口，修改配置并利用DCSync技術(shù)提取憑證。盡管具體的初始攻擊途徑尚不明確，但研究人員“高度確信”攻擊者可能利用了零日漏洞，因為“受影響組織和固件版本的時間線高度壓縮”。

受影響的設備固件版本介于7.0.14至7.0.16之間，這些版本分別于2024年2月和10月發(fā)布。攻擊活動分為四個階段，從2024年11月16日左右開始，攻擊者逐步從漏洞掃描和偵察轉(zhuǎn)向配置更改和橫向移動。

Arctic Wolf的研究人員表示：“與合法的防火墻活動相比，這些活動的顯著特點是攻擊者從少數(shù)異常IP地址廣泛使用了jsconsole接口。鑒于不同入侵事件中手法和基礎設施的細微差異，可能有多個個人或團體參與了此次攻擊活動，但jsconsole的使用是貫穿始終的共同點?！?/p>

攻擊者的具體操作

簡而言之，攻擊者通過登錄防火墻管理接口進行配置更改，包括將輸出設置從“標準”修改為“更多”，作為早期偵察的一部分。隨后，在2024年12月初，攻擊者進行了更廣泛的更改，創(chuàng)建了新的超級管理員賬戶。

這些新創(chuàng)建的超級管理員賬戶隨后被用于設置多達六個新的本地用戶賬戶，并將它們添加到受害組織先前為SSL VPN訪問創(chuàng)建的現(xiàn)有組中。在其他事件中，攻擊者還劫持了現(xiàn)有賬戶，并將它們添加到具有VPN訪問權(quán)限的組中。

Arctic Wolf指出：“攻擊者還被觀察到創(chuàng)建了新的SSL VPN門戶，并直接將用戶賬戶添加到其中。完成必要的更改后，攻擊者與受影響的設備建立了SSL VPN隧道。所有隧道的客戶端IP地址均來自少數(shù)VPS托管提供商?！?/p>

攻擊的最終目標與防御建議

此次攻擊活動的高潮是攻擊者利用SSL VPN訪問權(quán)限，通過DCSync技術(shù)提取憑證以進行橫向移動。然而，由于攻擊者在進入下一階段之前被從受感染環(huán)境中清除，目前尚不清楚他們的最終目標是什么。

為了降低此類風險，組織應避免將防火墻管理接口暴露在互聯(lián)網(wǎng)上，并限制僅允許受信任的用戶訪問。Arctic Wolf表示：“此次攻擊活動的受害者并不局限于特定行業(yè)或組織規(guī)模。受害者組織類型的多樣性以及自動化登錄/注銷事件的出現(xiàn)表明，攻擊者的目標具有機會主義性質(zhì)，而非經(jīng)過精心策劃。”

總之，此次攻擊活動再次提醒我們，暴露在互聯(lián)網(wǎng)上的管理接口可能成為攻擊者的突破口，組織應采取嚴格的訪問控制措施，以防止類似事件的發(fā)生。