美国、英国和澳大利亚等国的网络安全机构发表了一份联合声明,称可疑的伊朗政府支持的攻击者正在积极利用Fortinet和Microsoft Exchange ProxyShell的漏洞。
攻击者利用该漏洞获得对受害者系统的初始访问权,然后开始窃取数据并部署勒索软件。
漏洞“泛滥”多部门惨遭其害
根据美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)、澳大利亚网络安全中心(ACSC)和英国国家网络安全中心(NCSC)对受害者网络的分析,攻击者利用了Fortinet FortiOS漏洞和一个影响Microsoft Exchange服务器的远程代码执行漏洞,该漏洞可以追溯到2021年3月。
黑客利用的漏洞清单如下:
-
CVE-2021-34473(CVSS评分:9.1)--微软Exchange服务器远程代码执行漏洞(又名 "ProxyShell");
-
CVE-2020-12812 (CVSS评分:9.8) - FortiOS SSL VPN 2FA,通过改变用户名大小写绕过的漏洞;
-
CVE-2019-5591(CVSS评分:6.5)--FortiGate,默认配置未验证LDAP服务器身份;
-
CVE-2018-13379(CVSS评分:9.8)--通过特制的HTTP资源请求;通过SSL VPN泄露FortiOS系统文件。
根据The Hacker News等媒体披露,遭受网络攻击的受害者众多,其中受损严重的有澳大利亚的多家组织和美国多个关键基础设施部门。
漏洞破坏力强大,专家建议立刻“扼杀”
来自CISA和FBI等机构的网络安全专家分析了攻击者最近的活动,发现该组织非常活跃,不仅利用FortiOS漏洞“访问”澳大利亚脆弱的企业网络,还早在2021年5月就利用了Fortigate设备漏洞。美国政府托管的网络服务器遭到网络攻击。
此事不久,该组织又利用 Fortigate 设备漏洞“访问了”一家儿童医疗保健院的网络空间。
为了应对来自攻击者的持续威胁,美国政府不得不发布第二次警告,称高级持续威胁组正在利用CVE-2018-13379、CVE-2020-12812和CVE-2019-5591等漏洞,破坏属于政府和企业等实体的网络系统。
网络安全专家建议公司和政府部门立即修补受这些漏洞影响的软件,实施数据备份和恢复程序,实施网络分割,使用多因素认证来保护账户,并更新系统,及时提供软件和固件,有效地保护自己的网络安全。