快更新韌體!駭客公佈近5萬台有漏洞的Fortinet SSL VPN名單以及攻擊程式
###11/24更新Fortinet官方聲明
客戶的安全是Fortinet的首要任務。在2019年5月,Fortinet已發布解決相關SSL漏洞的PSIRT公告,同時已直接與客戶溝通,亦在2019年8月和2020年7月透過部落格發布相關訊息,強烈建議進行系統升級。雖然無法確認是否有攻擊已透過此漏洞進行,我們將持續與客戶溝通,但我們仍敦促客戶實施升級和緩解措施。如需要獲取更多資訊,請瀏覽我們最新的部落格,並參閱2019年5月的公告。
安全情報業者Bank_Security發現,一名駭客在網路論壇張貼一系列攻擊程式,以及近5萬台可能成為攻擊目標的Fortinet VPN裝置。
這5萬台Fortinet VPN都是因為爆出漏洞而成為潛在目標。爆出的漏洞是CVE-2018-13379,它是FortiOS中的路徑遍歷(path traversal)漏洞,影響FortiOS SSL VPN裝置。本漏洞一旦遭開採,遠端攻擊者就可以藉由發送惡意HTTP呼叫存取系統檔案,屬於重大風險漏洞。
駭客公開的攻擊程式則可讓惡意人士存取Fortinet VPN的sslvpn_websession檔案,竊取登入帳密,這些帳密若落入駭客之手,即可用來駭入企業網路,放入勒索軟體。
這個漏洞2018年就已被公開,但從駭客公佈的IP清單來看,還是有近49,577台VPN沒有修補。Bank Security利用nslookup來跑所有IP,並因此找到相關網域,其中將近50台VPN裝置隷屬於全球知名銀行、金融業者和多國政府單位
研究人員指出,CVE-2018-13379是個很老、很知名且很容易攻擊的漏洞。駭客界應該已經使用好長一段時間。不幸的是企業修補腳步非常慢,再不然就是未列管的漏洞裝置太多,因此駭客可以非常容易駭進各類企業。
此外上個月安全廠商也發現,有駭客使用同一VPN漏洞串聯Windows的Zerologon(CVE-2020-1472)漏洞,成功駭進美國政府選舉相關單位的系統。
安全公司也呼籲企業安全及網管人員儘速修補CVE-2018-13379。