一名黑客发布了一份在线 exploit 清单,可从近5万个 Fortinet VPN 设备中窃取 VPN 凭据。清单上所列的易受攻击的目标是属于全球范围内的商业银行和政府组织机构的域名。

数千个目标

所涉及的漏洞是 CVE-2018-13379,是一个路径遍历缺陷,影响大量未修复的 Fortinet FortiOS SSL VPN 设备。

如漏洞遭利用,未认证的远程攻击者可通过特殊构造的 HTTP 请求访问系统文件。黑客公布的 exploit 可导致攻击者访问 Fortinet VPN 中的 sslvpn_websession 文件,窃取登录凭据。这些被盗凭据之后可用于攻陷网络和部署勒索软件。

该漏洞首次公开披露于2018年,不过研究人员发现了仍可遭攻击的约5万个目标。本周,威胁情报分析师 Bank_Security 发现某黑客论坛上有人分享了这类可遭利用的目标,涉及49,577 台设备。分析清单后发现,易受攻击的目标包括政府域名和著名银行和金融公司的域名,遍布全球。

易受攻击的银行、金融和政府机构

BleepingComputer 指出,在这5万个域名中,超过40多个属于颇有声望的银行、金融机构和政府机构。

Bank Security 指出,发现论坛帖子后,他开始分析 IP 列表,识别受影响的组织机构。他指出,“为了更好地找出哪些企业受影响,我对清单上所有的 IP 进行 nslookup 操作,并为其中很多 IP 发现了关联域名。”之后他优化了所获结果,识别出和相关组织机构和著名银行相关联的域名。他指出,尽管这是一个易于利用的老洞,但组织机构的打补丁进程“非常慢”,使攻击者能够继续利用有名的 bug,“这是一个老旧的、著名的、易于利用的漏洞。攻击者在很长一段时间内利用它。遗憾的是,企业的打补丁进程非常缓慢,或者在互联网上的暴露边界不受控制。因此,攻击者能够相对容易地利用这些缺陷攻陷企业。”

该缺陷此前曾被用于入侵美国政府大选的支持系统。

建议网络管理员和安全专业人员立即修复这个严重的漏洞。

原文链接

https://www.bleepingcomputer.com/news/security/hacker-posts-exploits-for-over-49-000-vulnerable-fortinet-vpns/

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。