点击上方蓝字关注我们
近日,15474台Fortinet设备的过时配置数据和虚拟专用网络(VPN)凭证被免费发布到暗网,引发网络安全领域高度关注。此次事件与Fortinet产品的多个漏洞密切相关,背后的攻击者“Belsen Group”身份也扑朔迷离。
1月14日,Fortinet披露了其FortiOS操作系统和FortiProxy Web网关中存在严重的身份验证绕过漏洞,编号为CVE-2024-55591。回溯过往,2022年10月,Fortinet也曾发布关于CVE-2022-40684漏洞的紧急安全警告,该漏洞同样影响FortiOS、FortiProxy等产品,在通用漏洞评分系统(CVSS)中被评为“严重”的9.8分,可让未经身份验证的攻击者通过特制HTTP请求对设备执行管理操作。漏洞披露后,安全研究人员开发了PoC 用于扫描受影响设备,观察到的漏洞利用尝试次数也在不断攀升。
刚巧在本周CVE-2024-55591披露当天,“Belsen Group”就发布了超过15000台Fortinet设备的数据。CloudSEK研究人员分析认为,这些数据很可能是在CVE-2022-40684还是0day时被盗取的,攻击者在利用完这些数据后,于2025年选择将其泄露。
“Belsen Group”在网络犯罪网站BreachForums发帖称“2025年对世界来说将是幸运的一年”。其在洋葱网站上发布的1.6GB文件可免费访问,数据按国家、IP地址和防火墙端口号分类存储。受影响设备分布于各大洲,比利时、波兰、美国和英国的数量较多。但值得注意的是,Fortinet产品覆盖的国家中,伊朗未出现在泄露数据中,俄罗斯也仅有一台受影响设备,且位于乌克兰 annexed Crimea地区。这些数据差异或许能为追查“Belsen Group”的来源提供线索,CloudSEK判断该组织至少已活跃三年,但目前尚未明确其具体归属。
从网络风险角度来看,泄露数据包含“config.conf”和“vpn-password.txt”两个文件夹。前者存有设备配置信息,如IP地址、用户名、密码、管理证书和防火墙规则,是通过CVE-2022-40684窃取的;后者则是SSL-VPN凭证,源自更古老的路径遍历漏洞CVE-2018-13379。尽管数据存在时效性,但安全研究员Kevin Beaumont指出,完整的设备配置信息价值巨大,CloudSEK也强调泄露的防火墙配置可能暴露企业内部网络结构。此外,许多组织未及时更换用户名和密码,旧凭证仍可能被利用造成安全问题。
面对此次数据泄露事件,Fortinet在1月16日发布的安全分析中表示,若企业一直遵循最佳安全实践,定期更新安全凭证并采取建议措施,那么受此次威胁影响的风险较小。
严重漏洞,数十万大众电动车主数据可能遭到泄漏
2025-01-06
科技巨头Cisco遭攻击,黑客提供 2.9 GB 数据样本下载
2024-12-19
美国最大电信服务供应商确认7300万客户数据泄露
2024-04-02
网安巨头Fortinet竟遭受黑客攻击,440G文件泄露
2024-09-14
喜欢此文的话,可以点赞、转发、在看 一键三连哦!
原文始发于微信公众号(星尘安全):又又又出事,1.5万台Fortinet设备配置信息在暗网泄露
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论