FBI: APT组织正在利用Fortinet VPN安全漏洞进行攻击

美国联邦调查局和网络安全与基础设施安全局警告称，高级持续性威胁（APT）恶意攻击者正在大量利用Fortinet FortiOS网络安全操作系统中的很多已知安全漏洞，攻击公司的SSL VPN产品。

根据FBI和CISA周五发布的警报，网络攻击者正在扫描4443、8443和10443端口的设备，寻找未打补丁的Fortinet设备。具体来说，APT组织正在利用CVE-2018-13379、CVE-2019-5591和CVE-2020-12812漏洞进行攻击。

根据警报："APT攻击者很可能正在扫描这些漏洞，来获得对多个政府，商业和技术服务网络的访问权限，APT攻击者曾经利用过关键的漏洞进行分布式拒绝服务(DDoS)攻击、勒索软件攻击、结构化查询语言(SQL)注入攻击、鱼叉式钓鱼活动、网站篡改和发布虚假信息等活动。"

编号为CVE-2018-13379的漏洞是Fortinet FortiOS中的一个路径穿越漏洞，SSL VPN网络门户允许未经认证的攻击者通过特制的HTTP资源请求下载系统文件。

CVE-2019-5591漏洞是FortiOS中的一个默认配置漏洞，该漏洞可能会允许同一子网中的未经认证的攻击者通过冒充LDAP服务器截取敏感信息。

最后，CVE-2020-12812是FortiOS的SSL VPN中的认证错误漏洞，如果用户改变了用户名的大小写，就可能会允许用户在不被提示第二因素认证（FortiToken）的情况下成功登录系统。

Horizon3.AI的高级红队工程师Zach Hanley通过电子邮件表示："攻击者越来越多地针对VPN这一重要的外部应用进行攻击。在去年这一年vpn更是成为了重点的攻击目标。这三个针对Fortinet VPN的漏洞会允许攻击者获得有效的登录凭证，绕过多因素认证（MFA）和中间人（MITM）认证流量来拦截凭证。"

Hanley补充说："这几个漏洞的共同点是：一旦他们利用成功，他们就会像正常用户一样登录系统。"

研究人员指出，由于Fortinet的广泛应用，这些设备上的漏洞一般都会受到网络攻击者的利用。

Tenable的工作人员研究工程师Satnam Narang通过电子邮件表示："CVE-2018-13379是Fortinet FortiOS SSL VPN中的一个关键漏洞，自2019年8月公开了漏洞利用细节以来，该漏洞一直都受到了网络犯罪分子的青睐。事实上，回顾2020年Tenable的威胁程度，我们将其列入了我们的2020年五大漏洞中，因为我们看到很多威胁攻击者会在互联网上继续利用它。"

FBI和CISA没有具体说明是哪些APT在最近发动了攻击活动。

初步的网络信息侦查

官员称，漏洞一旦被利用，攻击者就会进行横向移动，对目标网络进行侦察。

警告解释道："为获得关键网络的访问权，APT攻击者可能会使用这些CVE漏洞来攻击多个关键基础设施部门的网络，为后续的数据渗透或数据加密攻击做准备，APT攻击者可能会使用其他CVE漏洞或其他常见的攻击技术，如鱼叉式钓鱼，来获取关键基础设施网络的访问权限，为后续攻击打好基础。"

在FBI和CISA的联合网络安全警告之后，去年美国机构纷纷发出了关于APT组织利用未修补的漏洞来针对联邦机构和商业组织进行攻击的警告。例如，10月份发出的警告称，APT组织利用Fortinet、Palo Alto Networks和Pulse Secure公司的已经被淘汰了的VPN的漏洞，对美国和海外的目标实施网络攻击。

Narang说："我们看到了很多的Fortinet FortiOS漏洞，如CVE-2019-5591和CVE-2020-12812被这些威胁行为者利用，vpn产品有如此多的已知的但未修补的漏洞并不令人惊讶，在过去几年中，SSL VPN漏洞一直是APT攻击集团和网络犯罪分子的攻击目标。随着社会上远程工作的趋势的流行，以及对Fortinet和其他SSL VPN需求的增加，攻击面和可用目标已经扩大。各个社会组织应该认真对待这一情况，如果还没有对Fortinet设备打补丁，应立即考虑进行修补。"

如何保护我的网络免受网络攻击？

FBI和CISA提出了一系列的防御措施，帮助组织进行自我防护，防止其他攻击。 

1.立即修补CVE2018-13379、2020-12812和2019-5591漏洞。

2.如果您的组织没有使用FortiOS，请将FortiOS使用的关键文件添加到您组织的拒绝执行列表中，应防止任何试图安装或运行该程序及其相关文件的行为。

3.定期备份数据，对离线的备份副本进行隔离和密码保护。确保关键数据的副本无法从数据所在的主系统中访问修改或删除。

4.实施网络分段。

5.要求管理员使用凭证来安装软件。

6.做好数据恢复工作，从物理上独立、分割的安全位置（如硬盘、存储设备、云）恢复敏感或专有数据。

7.在更新/补丁发布后，尽快安装更新操作系统、软件和固件。

8.尽可能使用多因素验证。

9.定期更改网络系统和账户的密码，并避免重复使用不同账户的密码。在最短的时间内更改密码。

10.停用不常使用的远程访问/远程桌面协议的（RDP）端口，并监控远程访问/RDP日志。

11.审核具有管理权限的用户账户，并以最低权限为其配置访问控制权限。

12.在所有主机上安装并定期更新防病毒和防恶意的安全软件。

13.设置从外部收到的电子邮件显示电子邮件的标题。

14.禁用收到的电子邮件中的超链接。

15.注重安全意识的培训。为用户提供有关信息安全原则和技术的培训，特别是识别和规避钓鱼邮件。