一名威胁行为者泄露了超过15000台Fortinet Fortigate防火墙的配置文件(又称配置)以及相关的管理员和用户凭据。
该数据集于周一泄露,并由自称“Belsen_Group”的威胁行为者在一个地下论坛上公开,据说是为了免费提供,以巩固该组织在论坛用户心中的形象。
泄露的1.6 GB存档包含按国家排序的文件夹,每个文件夹内都有以IP地址命名的子文件夹,这些子文件夹中包含完整的配置文件和一个包含管理员和VPN用户凭据列表的txt文件。
“德国新闻机构Heise Online透露,大部分FortiNet配置,即1603份,是在墨西哥被攻击者捕获的,美国有679份,德国有208份。”
他们发现,许多受影响的设备显然位于公司和医疗机构中。“数据泄露中涉及多达80种不同的设备类型,其中FortiGate防火墙40F和60F最为普遍。此外,还有WLAN网关和服务器机架安装设备,以及用于办公桌或清洁柜的紧凑型设备。”
该怎么办?
据多位研究人员称,包含被盗配置文件的存档可追溯到2022年10月,据信攻击者利用了一个FortiOS身份验证绕过漏洞(CVE-2022–40684)来组装该存档。
“我在一家受害企业的一台设备上进行了事件响应,根据设备上的痕迹,确认攻击确实是通过CVE-2022–40684进行的,我还能够验证转储中看到的用户名和密码与设备上的详细信息匹配。”安全研究人员Kevin Beaumont分享道。
CloudSEK研究人员已下载该存档,并编译了企业可以用来检查其设备是否在受影响设备之列的IP地址列表。
“用户名和密码(部分以明文形式)的暴露使攻击者能够直接访问敏感系统,即使企业在2022年Fortigate发布补丁后修复了这个CVE,他们仍需检查是否存在被入侵的迹象,因为这是一个零日漏洞。”研究人员指出。
他们补充道,防火墙规则可能会泄露内部网络结构,从而可能使攻击者绕过防御。“被泄露的数字证书可能会导致未经授权的设备访问或在安全通信中进行冒充。”
他们建议企业更新所有设备和VPN凭据,审查防火墙规则中的可利用弱点并加强访问控制,撤销并替换所有暴露的数字证书以恢复安全通信,最后进行法医调查,以检查设备是否曾经或仍然被入侵。
他们认为,Belsen Group在泄露信息之前,可能已经自己使用了这些信息,或将其出售给了其他攻击者。
“Belsen Group在论坛上可能看似是个新面孔,但根据他们泄露的数据,我们可以非常有信心地确定,他们至少已经存在3年了,他们很可能是2022年利用零日漏洞的威胁组织的一部分,尽管尚未确定其直接隶属关系。”他们总结道。
