美、英、澳共同發聲：伊朗駭客正在開採微軟Exchange及Fortinet漏洞

美國的聯邦調查局（FBI）、網路安全及基礎設施安全局（CISA）、澳洲的網路安全中心（ACSC），以及英國的國家網路安全中心（NCSC）在本周發表了共同聲明，揭露由伊朗政府所支持的駭客團隊正在開採Microsoft Exchange Server與Fortinet的安全漏洞，提醒各界應小心防範。

此一國家級駭客集團所瞄準的4個安全漏洞分別是存在於Microsoft Exchange Server上的CVE-2021-34473，以及藏匿在Fortinet裝置上的CVE-2018-13379、CVE-2020-12812與CVE-2019-5591。

圖片來源_CISA

其中，CVE-2021-34473為微軟在今年7月修補的安全漏洞，這是一個遠端程式攻擊漏洞，在修補的當時已曝光，但尚未發現攻擊行動。至於Fortinet則早在2019年及2020年，修補了其裝置韌體FortiOS上的相關漏洞。

調查顯示，今年3月FBI與CISA就觀察到該駭客團隊，正在掃描3個Fortinet裝置的漏洞；5月時成功入侵了代管美國市政府網域之伺服器的Fortinet防火牆設備FortiGates，還在該伺服器上建立自己的使用者帳號；今年6月時再度藉由開採FortiGates，入侵了一家專門從事兒童醫療保健的美國醫院；而到了今年的10月，同一駭客團隊即開採微軟剛修補的CVE-2021-34473，以作為進入受害系統的跳板。

不只是美國的組織受駭，ACSC發現同一駭客團隊也試圖於澳洲開採CVE-2021-34473漏洞。

值得注意的是，FBI、CISA、ACSC與NCSC認為，此一駭客團隊並沒有特定的攻擊目標，而是專門開採已知的安全漏洞，接下來的惡意行為包括竊取資料、加密資料，以及植入勒索軟體。

此外，駭客滲透到受害系統之後，通常會建立自己的帳號，而且會依照該系統既有的帳號命名，以掩人耳目，作為日後存取之用。

上述的網路安全機構建議使用Exchange Server與Fortinet產品的組織，應該要檢查其內部網路的可疑行動，包括搜尋危害指標，調查有否曝露的Exchange Server，檢查RDP、防火牆及Windows遠端管理等配置，是否允許駭客長期存取，也應檢查陌生的用戶名稱，或是確保防毒軟體是否正常運作等。