引言
最近,一名黑客泄露了近50,000个脆弱的Fortinet VPN凭证,引起了广泛关注。根据BleepingComputer的报道,这名黑客在周末发布了一系列一行代码的漏洞利用工具,针对CVE-2018-13379,以窃取这些设备的VPN凭证。
漏洞影响广泛
在这份易受攻击的目标名单中,包含了来自全球的高街银行、电信公司和政府组织的IP地址。此次泄露的文件暴露了用户名、密码和未隐藏的IP地址。
CVE-2018-13379漏洞的危害
关键的FortiOS漏洞CVE-2018-13379使攻击者能够访问Fortinet VPN的敏感“sslvpn_websession”文件。这些文件包含与会话相关的信息,但最重要的是,可能会泄露Fortinet VPN用户的明文用户名和密码。
数据泄露的细节
今天,威胁情报分析师Bank_Security在黑客论坛上发现了另一个线程,其中一名威胁行为者分享了包含每个IP的“sslvpn_websession”文件的数据转储。BleepingComputer观察到,这些文件显示了用户名、密码、访问级别(例如“完全访问”)以及连接到VPN的用户的原始未隐藏IP地址。
数据包的规模
新发布的数据集仅为36MB的RAR档案,但解压后扩展到超过7GB。这些文件中的密码暴露意味着,即使脆弱的Fortinet VPN后来被修补,这些凭证仍可能被任何访问数据转储的人用于凭证填充攻击,或者潜在地重新获得对这些VPN的访问权限。
黑客的动机不明
尽管威胁行为者的动机尚不清楚,但BleepingComputer注意到,新的泄露档案中有标记为“pak”的列表,分隔出了巴基斯坦的VPN IP和相应的“sslvpn_websession”文件。此外,档案中还包含一张名为“f**k israel.jpg”的图像文件,这是一个以奥巴马2008年总统竞选海报风格制作的“是的,我们可以”阿道夫·希特勒海报。
数据泄露的传播
更糟糕的是,这些凭证转储正在其他论坛和聊天中被重新发布。
Fortinet的警告与应对
本周,Fortinet告诉BleepingComputer,自去年公开披露关键的路径遍历漏洞(CVE-2018-13379)以来,公司已多次提醒客户,鼓励他们修补脆弱的FortiOS实例。
“客户的安全是我们的首要任务。2019年5月,Fortinet发布了关于解决的SSL漏洞的PSIRT建议,并且还通过2019年8月和2020年7月的企业博客直接与客户沟通,强烈建议升级。”Fortinet发言人告诉BleepingComputer。
尽管采取了这些措施,由于缺乏修补,这一关键漏洞在现实中被广泛利用。
漏洞的实际影响
同样的漏洞被攻击者利用,入侵了美国政府的选举支持系统。早些时候,国家级威胁行为者利用该漏洞来入侵网络并部署勒索软件。
“在过去一周,我们已与所有客户沟通,再次通知他们此漏洞及缓解步骤。虽然我们无法确认该组织的攻击向量是否通过此漏洞发生,但我们仍然敦促客户实施升级和缓解措施。”Fortinet总结道。
建议与防护措施
因此,网络管理员和安全专业人员被鼓励立即修补这一严重漏洞。作为保护措施,Fortinet VPN用户应立即更改VPN设备上的密码,以及在使用相同凭证的任何其他网站上的密码。
结论
随着VPN安全问题的日益严重,用户们需要保持警惕,定期更新密码并及时应用安全补丁,以保护自己免受潜在的网络攻击。
相关报道
- 中国黑客利用Fortinet VPN零日漏洞窃取凭证
- 美国对中国公司因勒索攻击黑客防火墙实施制裁
- 黑客声称Giant Tiger数据泄露,在线泄露280万条记录
- Anna Jaques医院勒索攻击泄露30万患者数据
保持对VPN安全的关注是保护个人和企业信息的关键。
