該數據集于周一泄露,并由自稱“Belsen_Group”的威脅行為者在一個地下論壇上公開,據說是為了免費提供,以鞏固該組織在論壇用戶心中的形象。
泄露的1.6 GB存檔包含按國家排序的文件夾,每個文件夾內都有以IP地址命名的子文件夾,這些子文件夾中包含完整的配置文件和一個包含管理員和VPN用戶憑據列表的txt文件。
“德國新聞機構Heise Online透露,大部分FortiNet配置,即1603份,是在墨西哥被攻擊者捕獲的,美國有679份,德國有208份。”
他們發現,許多受影響的設備顯然位于公司和醫療機構中。“數據泄露中涉及多達80種不同的設備類型,其中FortiGate防火墻40F和60F最為普遍。此外,還有WLAN網關和服務器機架安裝設備,以及用于辦公桌或清潔柜的緊湊型設備。”
該怎么辦?
據多位研究人員稱,包含被盜配置文件的存檔可追溯到2022年10月,據信攻擊者利用了一個FortiOS身份驗證繞過漏洞(CVE-2022–40684)來組裝該存檔。
“我在一家受害企業的一臺設備上進行了事件響應,根據設備上的痕跡,確認攻擊確實是通過CVE-2022–40684進行的,我還能夠驗證轉儲中看到的用戶名和密碼與設備上的詳細信息匹配。”安全研究人員Kevin Beaumont分享道。
CloudSEK研究人員已下載該存檔,并編譯了企業可以用來檢查其設備是否在受影響設備之列的IP地址列表。
“用戶名和密碼(部分以明文形式)的暴露使攻擊者能夠直接訪問敏感系統,即使企業在2022年Fortigate發布補丁后修復了這個CVE,他們仍需檢查是否存在被入侵的跡象,因為這是一個零日漏洞。”研究人員指出。
他們補充道,防火墻規則可能會泄露內部網絡結構,從而可能使攻擊者繞過防御。“被泄露的數字證書可能會導致未經授權的設備訪問或在安全通信中進行冒充。”
他們建議企業更新所有設備和VPN憑據,審查防火墻規則中的可利用弱點并加強訪問控制,撤銷并替換所有暴露的數字證書以恢復安全通信,最后進行法醫調查,以檢查設備是否曾經或仍然被入侵。
他們認為,Belsen Group在泄露信息之前,可能已經自己使用了這些信息,或將其出售給了其他攻擊者。
“Belsen Group在論壇上可能看似是個新面孔,但根據他們泄露的數據,我們可以非常有信心地確定,他們至少已經存在3年了,他們很可能是2022年利用零日漏洞的威脅組織的一部分,盡管尚未確定其直接隸屬關系。”他們總結道。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號