威胁演员泄露了一个近500,000个堡垒VPN凭据的列表,从87,000易受攻击的FortiGate SSL-VPN设备中窃取。BREACH列表为74个国家的组织提供了原始访问,包括美国,印度,台湾,意大利,法国和以色列,近3000个美国实体受到影响。

根据Fortinet.凭证是从留下无限制的系统获得的CVE-2018-13379.在演员的扫描时。即使设备已被修补,如果密码未重置,则它们仍然很脆弱。

CVE-2018-13379.

公开披露的计算机安全漏洞列于常见的漏洞和公开(CVE)数据库中。其目标是使其更容易跨单独的漏洞功能(工具,数据库和服务)共享数据。

问题中的漏洞提供了几个Fortinet FortioS和FortiProxy版本中对受限目录的路径名的不当。弱势SSL VPN Web门户允许未经身份验证的攻击者通过特殊制作的HTTP请求下载系统文件。显然,FortiOs系统文件也包含登录凭据。

4月,CVE-2018-13379在联合中提到咨询从NSA,CISA和FBI中,作为俄罗斯外国情报服务(SVR)的持续攻击中广泛使用的五种漏洞之一。自2019年5月以来,此漏洞的补丁已获得,但此修补程序尚未根据需要广泛应用。

威胁演员

源头和泄露信息的网站,也是一个有趣的故事。Fortinet凭据列表被句柄'橙色的人泄露。'Orange也是新推出的斜坡黑客论坛的管理员,以及Babuk Ransomware操作的先前运营商。

之后宣布退休巴巴帮派,橙色显然是他自己的方式,开始坡道。橙色现在参与了Groove Ransomware操作,据称雇用了几个前Babuk开发人员。Fortinet VPN SSL凭据的泄漏在Groove泄漏网站上镜像。这两个帖子都会导致托管在已知的Tor存储服务器上的文件,该文件由Groove Gang使用。

RansomWare泄漏站点用于为受害者组织创建一些额外的杠杆。赎金软件攻击者在部署卷轴器时从渗透系统中窃取数据。如果受害者决定不支付,他们会威胁要发布数据。根据数据的类别,这可能是一种相当令人信服的理由。

易受攻击的安全软件

组织使用虚拟专用网络(VPN)从Internet提供对其系统的远程访问。通过设计,VPN可以远程访问,因此员工可以从任何地方到达它们,这也意味着攻击者可以从任何地方到达它们。由于VPNS提供对组织软满的访问权限,因此具有已知漏洞的VPN代表了一个容易到达的高价值目标。

这使得SWIFT修补了绝对的必要性,但许多组织发现这很难,部分原因是VPN对遥控工作非常重要。如果通过延迟检测到网络添加的新系统,并且缺乏常规漏洞扫描,攻击者将留下大量的空间,并且留下了大量空间来补充。

这种类型的泄漏是严重的,因为有效的VPN凭据可以允许威胁参与者访问网络窃取数据,扩展其访问,并运行勒索软件或其他恶意软件。

鉴于泄漏,Fortinet推荐公司立即禁用所有VPN,将设备升级到FortiOS 5.4.13,5.6.14,6.0.11或6.2.8及以上,然后启动组织范围的密码重置,warning that you may remain vulnerable post-upgrade if your users’ credentials were previously compromised.