Fortinet firewall 傳大規模中招:IT admin 而家要查咩
重點係舊憑證仍然有效,VPN 同管理介面要即刻盤點。
TechCrunch 今日報道,一個疑似俄語系攻擊團伙被指靠已知密碼,大規模登入 Fortinet firewall 同 VPN gateway。呢件事值得睇,唔係因為又有一個誇張數字,而係攻擊手法夠低成本:如果管理介面或者 VPN gateway 暴露喺網上,而舊密碼仲用得,攻擊者根本唔需要等新漏洞。
今次暫時知道咩
TechCrunch 引述 Hudson Rock 同 SOCRadar 嘅報告,話攻擊者先掃描網上可見嘅 Fortinet 裝置,再用早前外洩或者已知嘅密碼清單試登入。SOCRadar 話佢哋見到 30,791 部裝置、遍及 194 個國家;Hudson Rock 就話有證據指超過 73,000 個 Fortinet URL 被入侵。兩個數字唔同,所以而家最穩陣講法仍然係「數以萬計」,唔好當成精準統計。
要分清楚,呢度有幾層未確認。Fortinet 未有回應 TechCrunch;被點名嘅大公司名單係 Hudson Rock 報告入面嘅說法,未等於每間公司都已確認內網被偷資料。不過 SOCRadar 描述嘅攻擊鏈好麻煩:一旦登入成功,攻擊者可以將設備當成「聽位」,觀察流量、收集新憑證,再餵返入自動化工具繼續打下一批。
圖片:Fortinet
點解舊密碼可以玩到咁大
好多公司以為「漏洞補咗就完」,但密碼同設定檔係另一回事。Fortinet 官方 best-practices 文件都提醒,FortiGate 設定檔入面可以有網上架構、用戶、憑證、密碼同 key;如果舊設定、備份或者早前外洩資料冇處理,攻擊者攞到嘅唔只係一個 login,仲可能係 VPN、LDAP bind、RADIUS shared secret、IPsec PSK 呢類橫向移動材料。
圖片:SOCRadar
FortiGate 用家要即刻做嘅事
- 先盤點所有 FortiGate / FortiOS / SSL VPN 對外入口,確認管理介面有冇露喺 WAN。
- 查 firmware 版本同 Fortinet PSIRT / upgrade path,唔好留喺 out-of-support 版本。
- 立即 rotate admin、VPN、本機用戶、LDAP/RADIUS 相關密碼同 shared secret,特別係舊同重用密碼。
- 開 MFA,限制 admin login 只可由 trusted hosts 或管理 VPN 入,並檢查 local-in policy。
- 翻 log:成功登入、失敗登入、異常來源 IP、設定變更、新增帳戶、VPN group 變動,都要睇。
- 對比 known-good config,查有冇多咗奇怪 policy、route、portal、admin account 或 API token。
香港公司點睇
暫時未見公開香港受害名單,所以唔好當成已確認本地外洩。但 FortiGate 喺公司、學校、分公司連線同 MSP 管理環境都好常見;如果你嘅 remote access 仍然靠同一批 VPN 帳戶同舊密碼,呢件事已經夠理由即日做健康檢查。最怕唔係單一品牌出事,而係資產清單唔準、供應商帳戶冇收返、舊密碼冇 rotate,最後 firewall 變咗入內網嘅正門。
參考來源
- TechCrunch — Cybercriminals allegedly hacked tens of thousands of Fortinet firewalls used by major companies all over the world — original report
- SOCRadar:FortiBleed report — 威脅情報來源之一,提供 30,791 部裝置、194 國家、攻擊流程同風險評級。
- Hudson Rock / InfoStealers report — 另一個原始研究來源,提供 73,932 unique URLs、受影響國家排行同被點名公司資料。
- Fortinet FortiOS Best Practices:System administrator best practices — 官方文件,支撐 firmware 更新、管理介面限制、設定檔含敏感憑證同密碼儲存風險。
- Fortinet Community:FortiGate SSL VPN best practices guide — 官方 community 技術文件,支撐 SSL VPN hardening、登入限制、停用不用嘅功能同 cipher/TLS 建議。
- Fortinet Next-Generation Firewall product page — 官方產品背景同配圖來源,確認 FortiGate NGFW 定位同產品圖。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。
