核心内容摘要
拆出心动:当男生遇上女生,这场“拆拆拆”的游戏不止于心动
FortiGate防火墙正遭受静默攻击攻击者已找到绕过单点登录SSO保护的方法能够直接从设备中窃取敏感配置信息。
根据网络安全公司Arctic Wolf发布的安全警告自1月15日开始该公司发现了一波针对Fortinet FortiGate设备的自动化恶意攻击活动。
攻击者通过已被入侵的SSO账户能够修改防火墙设置、创建后门管理员用户并窃取配置文件。
Arctic Wolf表示攻击者的行为非常有针对性入侵者会创建新的管理员账户调整VPN和防火墙规则并导出完整的配置信息。
这些配置文件通常包含敏感凭据和内部网络详细信息实际上为攻击者提供了下一步攻击目标的路线图。
Arctic Wolf指出上述所有事件都在几秒钟内发生这表明可能存在自动化攻击活动。
虽然Arctic Wolf尚未确认新的漏洞但这种攻击行为与已知的漏洞利用模式高度吻合。
这些攻击活动源于两个关键的身份验证绕过漏洞CVE-
和CVE-
这些漏洞允许攻击者通过特制的SAML响应绕过SSO登录检查。
Fortinet在去年12月已发布了这些漏洞的补丁但Arctic Wolf的安全警告显示越来越多的管理员报告称攻击者正在利用CVE-
的补丁绕过技术入侵那些本以为已经修复的防火墙。
在Reddit平台上受影响的管理员表示Fortinet私下承认FortiOS
7.
10版本并未完全修复SSO身份验证绕过问题尽管该问题在12月初发布的FortiOS
7.
9版本中被标记为已修复。
多名客户报告称他们在完全更新的系统上仍然发现了入侵行为。
据报道Fortinet现在正准备在未来几天内发布额外的更新版本——FortiOS
7.
4.
11、
7.
6和
8.
0——以完全解决CVE-
漏洞。
受影响客户共享的日志显示攻击者通过来自IP地址
104.
28.
2
114的cloud-initmail.io账户via SSO登录然后创建新的管理员用户。
这些攻击指标与Arctic Wolf在分析当前FortiGate攻击时观察到的活动以及12月份类似的利用尝试完全匹配。
Arctic Wolf敦促各组织审核FortiGate管理员账户检查最近的配置更改轮换凭据并在Fortinet下一轮修复程序发布之前密切监控SSO活动。
QAQ1FortiGate防火墙遭受的这次攻击有什么特点A这次攻击具有高度自动化的特点攻击者能在几秒钟内完成创建管理员账户、修改防火墙规则和导出配置文件等多个步骤。
攻击者主要通过绕过SSO保护来入侵系统并窃取包含敏感凭据和网络信息的配置文件。
Q2CVE-
漏洞补丁是否有效A根据管理员反馈和Arctic Wolf的报告FortiOS
7.
10版本并未完全修复CVE-
身份验证绕过漏洞攻击者仍能利用补丁绕过技术入侵已更新的系统。
Fortinet正准备发布新版本来彻底解决这个问题。
Q3如何防护FortiGate设备免受此类攻击AArctic Wolf建议组织立即审核FortiGate管理员账户检查最近的配置更改轮换所有相关凭据并密切监控SSO登录活动。
同时应等待并及时安装Fortinet即将发布的FortiOS
7.
4.
11、
7.
6和
8.