美國政府警告：Fortinet OS 漏洞正遭受駭客攻擊

美國政府警告，進階持續威脅 (Advanced Persistent Threat, APT) 駭客正在開採網路安全廠商 Fortinet 的 FortiOS 軟體多項漏洞，企圖駭入民間企業、政府機關及技術服務網路。

美國聯邦調查局 (FBI) 和網路安全暨基礎架構安全署 (CISA) 上周在 Fortinet 針對作業系統軟體 FortiOS 漏洞發出安全修補程式後，聯合對美國政府及企業發出安全公告，警告過去一個月來觀察到攻擊者針對 FortiOS 三項漏洞，包括 CVE-2018-13379（a path traversal vulnerability in the FortiOS SSL VPN web portal 的路徑穿越漏洞）、CVE-2020-12812（FortiOS SSL VPN 2FA 繞過漏洞）及 CVE-2019-5591（lack of LDAP server 預設組態的身份驗證漏洞）進行掃瞄。

不明駭客組織目前正在對掃瞄 Fortinet 裝置的 port 4443、8443 及 10443 以尋找未修補的 CVE-2018-13379，以及列舉分析 Fortinet 裝置尋找 CVE-2020-12812 及 CVE-2019-5591，尚未發動實際攻擊，但美國政府相信可能攻擊者隨時會升高攻擊行動。

APT 攻擊者可能利用三者或其中一項漏洞以存取多家關鍵基礎架構部門的網路，進而存取關鍵網路，以作為日後外洩資料或加密資料攻擊的準備。此外，CISA 警告攻擊者也可能會利用其他漏洞或攻擊手法以存取關鍵基礎架構網路。

為防止攻擊，CISA 建議企業及政府單位應立即修補三項漏洞、備份資料、導入網路隔離、限制只有管理員帳號才能安裝軟體、使用多因應驗證、關閉未使用的 port，並安裝且定期更新防毒軟體，以及確保 OS 在最新版本等。

來源：SecurityWeek

===4/7 更新：Fortinet 聲明===

Fortinet 始終致力與所有客戶攜手優化其企業組織的資安防護措施，保障所有使用者的資訊安全是 Fortinet 的首要之務。早在 2019 年 5 月，Fortinet 已立即對 CVE-2018-13379 發布產品資安事件應變小組通報（Product Security Incident Response Team Advisory，PSIRT Advisory），且陸續於 2019 年 8 月和 2020 年 7 月以企業部落格文章及其他管道強烈建議所有用戶進行更新，直至 2020 年底，Fortinet 團隊仍與所有客戶溝通不輟。

而 Fortinet 也於 2019 年 7 月修補 CVE-2019-5591、2020 年 7 月修補 CVE-2020-12812。儘管 Fortinet 團隊持續敦促使用者進行更新並立即對所有已知漏洞展開修補，但根據 FBI 和 CISA 所發布的聯合資安通報顯示，有許多使用者未主動採許更新措施並導致相關設備暴露在高度資安風險之下，為此，Fortinet 團隊持續與所有使用者聯繫，並強烈建議其立即進行升級更新以防範可能的資安風險。欲瞭解更多資訊可參閱 Fortinet 部落格文章或是參考 2019 年 5 月發布的資安通報。