这两个礼拜,针对Ivanti Connect Secure、Fortinet防火墙的零时差漏洞攻击事故相当受到各界关注,其中又以Fortinet防火墙的事故较引起注意,如今有人公布一批资料防火墙组态的资料,使得该厂牌用户恐面临更严峻的资安威胁。
值得留意的是,虽然这批资料骇客疑似2年多前搜括而得,但由于内含详细的防火墙政策、组态资料,甚至是VPN帐密资料,很有可能被人用于从事攻击。
【攻击与威胁】
上周资安业者Arctic Wolf揭露针对Fortinet防火墙设备的大规模攻击行动,本周Fortinet证实身分验证绕过漏洞CVE-2024-55591被用于其中,这几天又有骇客公布几年前窃得的Fortinet防火墙组态资料及登入SSL VPN的帐密,再度引发关切。
根据1月15日德国新闻新闻网站Heise online的报导,名为Belsen Group的新兴骇客组织于暗网的地下论坛公布一批资料,内含超过1.5万笔记录,并声称他们是透过Fortinet防火墙设备的弱点到手。
另一位资安专家Kevin Beaumont也投入调查行列,他分析这批资料并比对物联网搜寻引擎找到的资料,确认资料的真实性。他表示,外泄的资安产品组态资料不仅依照国家排序,也公开每台防火墙完整的组态资料config.conf,以及VPN使用者帐密的明文资料vpn-users.txt。究竟骇客如何窃得这批资料?Kevin Beaumont认为,攻击者透过2022年10月公布的零时差漏洞CVE-2022-40684(CVSS风险评分9.8)而得逞。
1月16日远东新世纪(原远东纺织)于股市公开观测站发布重大讯息,表示他们接获重要资通讯合作厂商的通报,这家资通讯厂商遭遇网路攻击的情况,两家公司合作相关的系统存在资料外泄的疑虑。
对此,远东新世纪立即启动紧急应变处理程序,并协同外部资安业者进行处置。对于这起事故可能会带来的损失或是影响,远东新世纪表示根据他们的初步评估,对营运及财务无重大影响。
其他攻击与威胁
【漏洞与修补】
1月14日兆勤科技(Zyxel Networks)发布资安公告,指出旗下部分无线基地台及资安路由器的网页管理介面,存在不当权限控管漏洞CVE-2024-12398,呼吁用户尽速安装新版韧体因应。
这项漏洞最初是在无线基地台WBE530、WBE660S发现,攻击者一旦利用,就有可能在通过身分验证的情况下将权限提升至管理员层级,并将设定档传送到存在弱点的设备,CVSS风险为8.8分。
兆勤经过清查,确认有22款无线基地台受到影响,此外,资安路由器USG LITE 60AX也存在漏洞。
最近资安业者ESET找到能够绕过UEFI安全开机的漏洞CVE-2024-7344,这项弱点是从UEFI应用程式找到,而这些档案皆具备第三方提供的微软凭证签章。一旦攻击者成功利用这项漏洞,就有机会在系统开机阶段执行不受信任的程式码,进而于受害电脑启用UEFI安全开机的状态下,部署恶意UEFI启动工具(bootkit)。
ESET恶意软体研究员Martin Smolár表示,受到这项弱点影响的UEFI应用程式元件,存在于数款即时系统复原软体套件,这些套件是CES NeoImpact、Greenware GreenGuard、Howyar SysReturn、Radix SmartRecovery、Sanfong EZ-back System、SignalComputer HDD King,以及Wasay eRecoveryRX。
关于上述问题,去年6月ESET向卡内基美隆大学所属的电脑网路危机处理暨协调中心(CERT/CC)通报,并成功通知受影响的厂商进行修补,微软也在今年1月例行更新(Patch Tuesday)注销存在弱点的旧版软体。
其他漏洞与修补