FBI和CISA警告APT正在利用未修補的Fortinet漏洞

Computer Security 年Sandos年

翻譯為：

根據聯邦調查局和國土安全部網絡安全與基礎設施安全局（CISA）的聯合聲明，國際高級持續威脅或APT當前正在利用屬於技術服務提供商，政府機構和私營部門的Fortinet FortiOS平台中的未修補漏洞。實體。

APT已針對最初於2019年發現的漏洞CVE-2018-13379，CVE-2020-12812和CVE-2019-5591進行了改進。此最新的黑客攻擊活動使攻擊者能夠滲透並等待受害者的網絡為將來的網絡攻擊。

CVE-2018-13379與Fortinet FortiOS 6.0.0至6.0.4、5.6.3至5.6.7和5.4.6至5.4.12平台相關聯，並且是由於以下原因導致的： SSL虛擬專用網絡（VPN）Web門戶。

一旦被利用，該漏洞使攻擊者能夠通過特製HTTP資源請求下載系統文件。先前的CISA警報指出，利用漏洞還可能能夠通過易受攻擊的系統公開密碼。

為了利用此漏洞，黑客最初必須獲得登錄的SSL VPN用戶的憑據。

在以前的黑客攻擊活動中，網絡犯罪分子在連鎖活動中利用了這些安全漏洞。黑客最初必須利用Fortinet FortiOS漏洞來進入受害者的網絡，然後將攻擊與嚴重的Netlogon漏洞CVE-2020-1472結合使用，以在一次漏洞中提升特權。

在這些最新攻擊中，美國安全機構警告說，APT當前正在掃描端口4443、8443和10443上的設備以找到CVE-2018-13379，以及用於CVE-2020-12812和CVE-2019-的枚舉設備。 5591。

根據聯合聲明，APT通常利用漏洞來執行DDoS攻擊，勒索軟件，網絡釣魚，SQL注入攻擊，網站破壞和虛假宣傳活動。

在此活動期間，APT仍將利用Fortinet漏洞來獲取多個關鍵基礎設施部門的網絡訪問權限，該警報稱為"針對後續數據滲漏或數據加密攻擊的預置"。

聲明說：" APT參與者可能會使用其他CVE或常見的利用技術（例如魚叉式網絡釣魚）來訪問關鍵的基礎架構網絡，以為後續的攻擊做準備。"

現在建議關鍵基礎架構實體立即將Fortinet軟件更新應用於其設備。

不使用該技術的組織應立即將FortiOS密鑰工件文件添加到其執行拒絕列表中，以防止嘗試安裝和/或運行程序及其文件。

美國機構還建議對所有軟件安裝都要求管理員憑據，並為所有相關端點利用多因素身份驗證。強烈建議進行網絡分段，以將易受攻擊的技術與主網絡隔離，並定期備份受密碼保護的脫機存儲服務器中的數據。

還建議重點關注提高員工的意識和圍繞識別和避免網絡釣魚電子郵件的其他培訓，以及禁用消息中的超鏈接和標記外部電子郵件。

搜索