• 日前,有攻击者在黑客论坛放出了一份近50万条Fortinet VPN设备登录凭证清单,据分析里边包含12856台设备上的498908名用户的VPN登录凭证;

  • 安全研究人员发现,这些Fortinet VPN设备的IP分布在全球各地,其中位于中国(大陆+台湾)的设备占比11.89%,台湾占比8.45%,大陆占比3.44%;

  • 掌握VPN凭证的攻击者很可能访问目标网络,进而实施数据窃取、恶意软件安装与勒索软件攻击等活动。

日前,一名威胁行为者泄露了一份包含近50万条Fortinet VPN登录名与密码的庞大清单,据称这些名称与密码窃取自去年夏天的一次网络入侵活动。

威胁行为者表示,当时利用的Fortinet漏洞已被修复,但其中相当一部分VPN凭证仍然真实有效

此次泄露后果严重,掌握VPN凭证的攻击者很可能访问目标网络,进而实施数据窃取、恶意软件安装与勒索软件攻击等活动

Fortinet凭证被公布在黑客论坛之上

这次泄露的Fortinet凭证清单来自一名昵称为“Orange”的攻击者,他也是新近上线的RAMP黑客论坛的管理员以及Babuk勒索软件团伙的前任成员。

在与Babuk团伙的其他成员发生争执之后,Orange决定分道扬镳并成立RAMP,如今已经成为新的Groove勒索软件团伙的代表。

昨天,这名攻击者在RAMP上发了个新帖,其中包含一条据称指向数千个Fortinet VPN账户文件的链接。

RAMP黑客论坛上的帖子

与此同时,Groove勒索软件的数据泄露站点上也出现了一篇帖子,宣称已经有大批Fortiner VPN外泄。

在Groove数据泄露站点上发布的Fortinet凭证相关信息

这两篇帖子都指向Groove团伙用于托管被盗文件的Tor存储服务器上的同一个文件,目的自然是逼迫勒索攻击受害者支付赎金。

根据对这个文件的分析,我们发现其中包含12856台设备上的498908名用户的VPN凭证

虽然我们还没有测试这些泄露凭证是否有效,但至少可以确定被抽样的所有IP地址均来自Fortinet VPN服务器。

安全厂商Advanced Intel的进一步分析表明,这些IP地址来自全球各地的多台设备,其中有2959台位于美国

泄露的Fortinet服务器的地理分布情况,中国台湾和大陆的占比较高

Kremez在采访中表示,这些凭证的外泄源自Fortinet曝出的CVE-2018-13379漏洞。

一位网络安全行业的消息人士告诉我们,他们已经完成了合法验证,可以证明其中至少一部分泄露的凭证真实有效

目前还不清楚攻击者为什么要公开凭证、而不是自行使用,但据信这么做是为了宣传RAMP黑客论坛,并帮助Groove勒索软件即服务打开市场

Advanced Intel CTO Vitali Kremez在采访中表示,“我们有一定的信心认为,这一波信息VPN SSL泄露很可能是为了宣传新的RAMP勒索软件论坛,这份清单就是给那些想搞勒索软件攻击的潜在用户们的「免费赠品」。”

Groove是一股相对较新的勒索软件势力,此次泄露的数据中出现了他们的一位受害者。但通过向网络犯罪社区提供免费赠品,他们可能希望能将其他攻击者招募到自己的附属体系当中。

Fortinet VPN服务器管理员该如何应对?

虽然无法合法验证凭证清单,但作为Fortinet VPN服务器管理员,大家应当假设此次泄露的凭证真实有效并及时采取预防措施。

具体预防措施包括强制重置所有用户密码以确保安全,并检查日志以验证是否已经遭到入侵。

若有任何可疑之处,请保证安装最新补丁进一步彻底调查,同时立即对用户密码进行重置。

Fortinet确认,已于2019年公布CVE-2018-13379等漏洞的信息与修复方案。

参考来源:https://www.bleepingcomputer.com/news/security/hackers-leak-passwords-for-500-000-fortinet-vpn-accounts/

声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。