網絡安全研究人員近日發現，針對Fortinet FortiGate防火墻設備的新一輪攻擊活動正在展開，這些設備的管理接口暴露在公共互聯網上，成為攻擊者的目標。

網絡安全公司Arctic Wolf在上周發布的分析報告中指出：“此次攻擊活動涉及未經授權的管理接口登錄、創建新賬戶、通過這些賬戶進行SSL VPN認證，以及其他各種配置更改?！?/p>

攻擊活動的時間線與手法

據信，此次惡意活動始于2024年11月中旬，攻擊者通過未經授權的方式訪問受影響防火墻的管理接口，修改配置并利用DCSync技術提取憑證。盡管具體的初始攻擊途徑尚不明確，但研究人員“高度確信”攻擊者可能利用了零日漏洞，因為“受影響組織和固件版本的時間線高度壓縮”。

受影響的設備固件版本介于7.0.14至7.0.16之間，這些版本分別于2024年2月和10月發布。攻擊活動分為四個階段，從2024年11月16日左右開始，攻擊者逐步從漏洞掃描和偵察轉向配置更改和橫向移動。

Arctic Wolf的研究人員表示：“與合法的防火墻活動相比，這些活動的顯著特點是攻擊者從少數異常IP地址廣泛使用了jsconsole接口。鑒于不同入侵事件中手法和基礎設施的細微差異，可能有多個個人或團體參與了此次攻擊活動，但jsconsole的使用是貫穿始終的共同點?！?/p>

攻擊者的具體操作

簡而言之，攻擊者通過登錄防火墻管理接口進行配置更改，包括將輸出設置從“標準”修改為“更多”，作為早期偵察的一部分。隨后，在2024年12月初，攻擊者進行了更廣泛的更改，創建了新的超級管理員賬戶。

這些新創建的超級管理員賬戶隨后被用于設置多達六個新的本地用戶賬戶，并將它們添加到受害組織先前為SSL VPN訪問創建的現有組中。在其他事件中，攻擊者還劫持了現有賬戶，并將它們添加到具有VPN訪問權限的組中。

Arctic Wolf指出：“攻擊者還被觀察到創建了新的SSL VPN門戶，并直接將用戶賬戶添加到其中。完成必要的更改后，攻擊者與受影響的設備建立了SSL VPN隧道。所有隧道的客戶端IP地址均來自少數VPS托管提供商?！?/p>

攻擊的最終目標與防御建議

此次攻擊活動的高潮是攻擊者利用SSL VPN訪問權限，通過DCSync技術提取憑證以進行橫向移動。然而，由于攻擊者在進入下一階段之前被從受感染環境中清除，目前尚不清楚他們的最終目標是什么。

為了降低此類風險，組織應避免將防火墻管理接口暴露在互聯網上，并限制僅允許受信任的用戶訪問。Arctic Wolf表示：“此次攻擊活動的受害者并不局限于特定行業或組織規模。受害者組織類型的多樣性以及自動化登錄/注銷事件的出現表明，攻擊者的目標具有機會主義性質，而非經過精心策劃。”

總之，此次攻擊活動再次提醒我們，暴露在互聯網上的管理接口可能成為攻擊者的突破口，組織應采取嚴格的訪問控制措施，以防止類似事件的發生。