上万台Fortinet VPN设备登录凭证泄露:超一成位于中国
日前,有攻击者在黑客论坛放出了一份近50万条Fortinet VPN设备登录凭证清单,据分析里边包含12856台设备上的498908名用户的VPN登录凭证;
安全研究人员发现,这些Fortinet VPN设备的IP分布在全球各地,其中位于中国(大陆+台湾)的设备占比11.89%,台湾占比8.45%,大陆占比3.44%;
掌握VPN凭证的攻击者很可能访问目标网络,进而实施数据窃取、恶意软件安装与勒索软件攻击等活动。
日前,一名威胁行为者泄露了一份包含近50万条Fortinet VPN登录名与密码的庞大清单,据称这些名称与密码窃取自去年夏天的一次网络入侵活动。
虽然威胁行为者宣称,当时利用的Fortinet漏洞已被修复,但其中相当一部分VPN凭证仍然真实有效。
此次泄露后果严重,掌握VPN凭证的攻击者很可能访问目标网络,进而实施数据窃取、恶意软件安装与勒索软件攻击等活动。
Fortinet凭证被公布在黑客论坛之上
这次泄露的Fortinet凭证清单来自一名昵称为“Orange”的攻击者,他也是新近上线的RAMP黑客论坛的管理员以及Babuk勒索软件团伙的前任成员。
在与Babuk团伙的其他成员发生争执之后,Orange决定分道扬镳并成立RAMP,如今已经成为新的Groove勒索软件团伙的代表。
昨天,这名攻击者在RAMP上发了个新帖,其中包含一条据称指向数千个Fortinet VPN账户文件的链接。
与此同时,Groove勒索软件的数据泄露站点上也出现了一篇帖子,宣称已经有大批Fortiner VPN外泄。
这两篇帖子都指向Groove团伙用于托管被盗文件的Tor存储服务器上的同一个文件,目的自然是逼迫勒索攻击受害者支付赎金。
根据对这个文件的分析,我们发现其中包含12856台设备上的498908名用户的VPN凭证。
虽然我们还没有测试这些泄露凭证是否有效,但至少可以确定被抽样的所有IP地址均来自Fortinet VPN服务器。
安全厂商Advanced Intel的进一步分析表明,这些IP地址来自全球各地的多台设备,其中有2959台位于美国。
Kremez在采访中表示,这些凭证的外泄源自Fortinet曝出的CVE-2018-13379漏洞。飞塔确认:2019年已公布漏洞修复方案。
一位网络安全行业的消息人士告诉我们,他们已经完成了合法验证,可以证明其中至少一部分泄露的凭证真实有效。
目前还不清楚攻击者为什么要公开凭证、而不是自行使用,但据信这么做是为了宣传RAMP黑客论坛,并帮助Groove勒索软件即服务打开市场。
Advanced Intel CTO Vitali Kremez在采访中表示,“我们有一定的信心认为,这一波信息VPN SSL泄露很可能是为了宣传新的RAMP勒索软件论坛,这份清单就是给那些想搞勒索软件攻击的潜在用户们的「免费赠品」。”
Groove是一股相对较新的勒索软件势力,此次泄露的数据中出现了他们的一位受害者。但通过向网络犯罪社区提供免费赠品,他们可能希望能将其他攻击者招募到自己的附属体系当中。
Fortinet VPN服务器管理员该如何应对?
虽然无法合法验证凭证清单,但作为Fortinet VPN服务器管理员,大家应当假设此次泄露的凭证真实有效并及时采取预防措施。
具体预防措施包括强制重置所有用户密码以确保安全,并检查日志以验证是否已经遭到入侵。
若有任何可疑之处,请保证安装最新补丁并进一步彻底调查,同时立即对用户密码进行重置。