研究人员称,一个新的勒索软件团伙正在迅速利用Fortinet防火墙中的两个身份验证绕过漏洞。
Forescout的研究人员在最近的一篇报告中概述了该团伙的攻击活动,称该团伙(命名为Mora_001)利用未修补的防火墙来部署一种新的勒索软件,名为SuperBlack,与LockBit 3.0(也称为LockBit Black)非常相似。
然而,报告描述的攻击方式表明,尽管这些漏洞可能是零日漏洞,且威胁行为者很快获得了概念验证攻击的代码,但防御者仍可以通过基本网络安全措施发现并缓解攻击。
安全团队的教训
案例 1:在Forescout调查的事件中,成功被攻击的防火墙将其管理接口暴露在互联网上。
教训:尽可能禁用防火墙的外部管理访问。
截至3月12日,Forescout表示,美国有7,677台FortiGate设备暴露了管理接口,印度有5,536台,巴西有3,201台。
案例 2:在一次事件中,威胁行为者创建了一个名为“adnimistrator”的新管理员账户。
教训:监控所有管理员账户的变化。了解所有应用程序和设备的管理账户数量。数量变化是可疑的,拼写错误的账户名称更是高度可疑。
案例 3:当防火墙具有VPN功能时,威胁行为者创建了与合法账户名称相似但末尾添加数字的本地VPN用户账户,并将这些新用户添加到VPN用户组中以实现未来的登录。Forescout总结道,这种策略可能是为了在日常管理审查中规避检测,并在即使初始入口点被发现后仍保持持久访问。随后,威胁行为者手动为新创建的用户分配了密码。
教训:参见案例2。
给CISO的主要教训:即使威胁行为者拥有零日漏洞利用,也不意味着你的IT基础设施毫无防御能力。相反,深度防御会大大降低被攻击的风险。
“好消息是,Fortinet之前发布的补丁应该覆盖了这两个漏洞,”Arctic Wolf的首席威胁情报研究员Stefan Hostetler在一封电子邮件中表示。“最新报告显示,威胁行为者正在针对那些未能及时应用补丁或加固防火墙配置的组织。”
据Forescout称,首次发现漏洞(CVE-2024-55591和CVE-2025-24472)被利用是在去年11月底/12月初。Fortinet于1月14日发布了一份安全公告。1月27日,威胁行为者可以利用的漏洞概念验证代码被发布。
Forescout从1月31日开始发现其客户中出现了入侵事件。Fortinet于2月11日在其初始公告中添加了CVE-2025-24472。
入侵迹象
“该行为者表现出独特的操作特征,结合了机会性攻击与LockBit生态系统的元素,”Forescout在其分析中表示。
“Mora_001与更广泛的LockBit勒索软件操作的关系,凸显了现代勒索软件领域的复杂性——专业化团队合作以利用互补能力。”
CISO应注意Forescout调查事件中一致的攻击后模式:
- 在多个受害者网络中创建相同的用户名;
- 用于初始访问、攻击后操作和命令控制(C2)操作的重叠IP地址;
- 受攻击环境中的类似配置备份行为;
- 在条件有利时,勒索软件在48小时内迅速部署,而在安全控制较严格的环境中进行更长时间的侦察。
CVE-2024-55591和CVE-2025-24472允许未经身份验证的攻击者在运行FortiOS 7.0.16之前版本且管理接口暴露在互联网上的Fortigate设备上获得super_admin权限。
在漏洞和概念验证利用代码传播后,Forescout观察到了三种类型的攻击:使用PoC、直接利用暴露防火墙接口中的WebSocket漏洞,以及通过直接HTTPS请求。
攻击策略
在成功利用漏洞并使用随机生成的用户名验证访问权限后,威胁行为者在几乎所有事件中都创建了本地系统管理员账户。新创建的账户包括:forticloud-tech、fortigate-firewall和adnimistrator(拼写错误的管理员)。
