资安业者Fortinet周三(10月23日)发布公告,揭露不过,根据研究人员取得的情报,他们尚未发现骇客利用漏洞进行横向移动的迹象,而且也没有后续活动,对于攻击者的意图或是地理位置,目前仍不得而知。
他们先后看到两次漏洞利用的情况,第一次发生在6月27日,多台FortiManager装置收到来自特定IP位址及541埠通讯协定的流量,几乎在同一时间,攻击者将多种Fortinet设备的组态配置档案,打包成Gzip压缩档/tmp/.tm。
到了9月23日,研究人员再度于相同组织看到漏洞利用的迹象,而且,这两次事故有个奇怪的模式,纳就是骇客在压缩档打包完成不久,就产生对外流量。
其中,在第2次利用漏洞的时候,攻击者将自己的装置向FortiManager进行注册。研究人员提及,一旦攻击者利用这项漏洞对FortiManager下手,该设备的管理主控台就有可能出现未经授权的「装置」。
虽然攻击者的动机仍不明朗,但Mandiant与Fortinet仍持续合作,针对各行各业超过50个可能会出现大规模攻击的FortiManager装置著手调查,并呼吁将FortiManager曝露在网际网路的企业,应著手调查是否有遭到入侵的迹象。