美英等國發出嚴重警告,微軟、Fortinet的漏洞正在被“濫用”

語言: CN / TW / HK

美國、英國和澳大利亞等國的網路安全機構釋出聯合宣告,稱疑似受伊朗政府資助的攻擊者,正在積極利用Fortinet和Microsoft Exchange ProxyShell的漏洞。

攻擊者利用漏洞獲得受害者系統初始訪問許可權後,開始竊取資料和部署勒索軟體。

漏洞“氾濫”多部門慘遭其害

據美國網路安全和基礎設施安全域性(CISA)、聯邦調查局(FBI)、澳大利亞網路安全中心(ACSC)和英國國家網路安全中心(NCSC)對受害網路系統分析後稱,攻擊者利用的Fortinet FortiOS漏洞和影響微軟Exchange伺服器的遠端程式碼執行漏洞,可追溯到2021年3月。

黑客利用的漏洞清單如下:

1. CVE-2021-34473(CVSS評分:9.1)--微軟Exchange伺服器遠端程式碼執行漏洞(又名 "ProxyShell");
2.CVE-2020-12812 (CVSS評分:9.8) - FortiOS SSL VPN 2FA,通過改變使用者名稱大小寫繞過的漏洞;
3.CVE-2019-5591(CVSS評分:6.5)--FortiGate,預設配置未驗證LDAP伺服器身份;
4.CVE-2018-13379(CVSS評分:9.8)--通過特製的HTTP資源請求;通過SSL VPN洩露FortiOS系統檔案。

根據The Hacker News等媒體披露,遭受網路攻擊的受害者眾多,其中受損嚴重的有澳大利亞的多家組織和美國多個關鍵基礎設施部門。

漏洞破壞力強大,專家建議立刻“扼殺”

CISA和FBI等部門的網路安全專家通過分析攻擊者近期活動,發現該組織異常活躍,不僅利用FortiOS 漏洞“訪問”易受攻擊的澳大利亞部分企業網路,早在2021年5月就已經利用 Fortigate 裝置漏洞,對美國市政府託管的網路伺服器展開了網路攻擊。

此事不久,該組織又利用 Fortigate 裝置漏洞“訪問了”一家兒童醫療保健院的網路空間。

為應對攻擊者的持續性威脅,美國政府不得不第二次釋出警告,提醒高階持續性威脅集團正在利用CVE-2018-13379、CVE-2020-12812和CVE-2019-5591等漏洞破壞屬於政府和企業等實體的網路系統。

網路安全專家建議企業、政府部門應立即修補受上述漏洞影響的軟體,執行資料備份和恢復程式、實施網路分段、使用多因素認證保護賬戶,及時更新系統、軟體和韌體,切實保護好自身網路安全。