1月上旬資安業者Arctic Wolf提出警告,他們察覺專門針對Fortinet防火牆設備FortiGate的攻擊行動,攻擊者鎖定能公開存取的管理介面下手,駭客利用重大層級身分驗證繞過漏洞CVE-2024-55591(CVSS風險為9.6)而得逞,如今再傳有駭客組織將其串連其他漏洞的情況。
資安業者Forescout揭露名為SuperBlack的勒索軟體,他們從1月下旬至3月初看到使用俄文的駭客組織Mora_001鎖定Fortinet防火牆而來,利用前述提及的作業系統漏洞CVE-2024-55591,以及2月份公布的CVE-2025-24472(CVSS風險為8.7)來取得初始入侵管道。
駭客這波利用漏洞的手法致可分成兩種,一種是直接透過jsconsole介面觸發存在於WebSocket的弱點,另一種則是發送HTTP請求來進行。
一旦成功利用漏洞,駭客就會以隨機的使用者名稱通過身分驗證,然後以forticloud-tech、fortigate-firewall、adnimistrator等使用者名稱建立本機系統管理員帳號,並下載防火牆的組態配置檔案以便後續偵察活動。附帶一提的是,若是管理員啟用了防火牆的VPN功能,駭客就會建立本機帳號,而能透過這種管道持續存取受害組織的網路環境。
假若受害組織並未啟用VPN功能,駭客就會以前述建立的新帳號,透過高可用性(HA)組態,或是濫用身分驗證基礎架構,於其他Fortinet防火牆建立存取管道。
為了決定後續的橫向移動路徑,駭客還會存取FortiGate防火牆的主控臺,掌握防火牆運作狀態、漏洞管理、網路組態、列管裝置、使用者SSL VPN連線資料、Wi-Fi連線的資訊。然後,他們利用WMIC進行偵察,並使用SSH連線存取伺服器及網路裝置。這些駭客會優先針對高價值目標下手,竊取內部機密資料後將檔案加密。
附帶一提的是,駭客使用的勒索軟體與LockBit 3.0(LockBit Black)非常類似,主要差異在於勒索訊息內容及外洩資料的工具。對此,研究人員認為,攻擊者很可能與LockBit有關。
熱門新聞
2025-03-17
2025-03-17
2025-03-14
2025-03-14
2025-03-14
