Fortinet 近50萬虛擬專用網絡帳戶密碼被黑客泄露
責編:gltian |2021-09-13 11:31:28一名網絡攻擊者泄露了一份Fortinet 虛擬專用網絡帳戶和密碼的名單,包含近50萬用戶。據稱這些帳戶和密碼是從去年夏天的設備上竊取的。
雖然威脅行方聲稱被利用的Fortinet漏洞已經被修補,但他們聲稱許多虛擬專用網絡憑證仍然有效。
這是一個嚴重的數據泄露事件,因為虛擬專用網絡憑據可能允許威脅行為者訪問網絡執行數據外泄、安裝惡意軟件和執行勒索軟件攻擊。
Fortinet 憑據在黑客論壇上泄露
Fortinet憑據列表由名為“Orange”的威脅行為者免費泄露,他是新成立的RAMP 黑客論壇的管理員,也是Babuk 勒索軟件的前運營商。
在Babuk團伙成員之間發生爭執后,Orange分道揚鑣啟動RAMP,現在被認為是新 Groove勒索軟件行動的代表。
9月8日,威脅行為者在RAMP論壇上創建了一個帖子,其中包含一個指向據稱包含數千個Fortinet 虛擬專用網絡帳戶的文件的鏈接。
與此同時,Groove勒索軟件的數據泄露站點上出現了一篇帖子,也宣傳Fortinet 虛擬專用網絡泄露事件。
這兩篇文章都指向了一個托管在Tor存儲服務器上的文件,Groove團伙使用該服務器托管被盜文件,迫使勒索軟件受害者支付贖金。
BleepingComputer對該文件的分析顯示,它包含了超過12,856臺設備的498,908名用戶的虛擬專用網絡憑據。
雖然我們沒有測試泄漏的任何憑據是否有效,但BleepingComputer可以確認我們檢查的所有IP地址都是Fortinet 虛擬專用網絡服務器。
Advanced Intel進行的進一步分析表明,這些IP地址是用于全球設備的,其中2959個設備位于美國,還涉及大量中國用戶。
Kremez在采訪中表示,這些數據泄露由于Fortinet 存在的一個CVE-2018-13379 漏洞被利用導致。
一位網絡安全行業的消息人士稱,他們已經完成了合法驗證,可以證明其中至少一部分泄露的憑證真實有效。
目前還不清楚攻擊者為什么要公開憑證、而不是自行使用,但據稱這么做是為了宣傳RAMP黑客論壇,并幫助Groove勒索軟件即服務打開市場。
Advanced Intel CTO Vitali Kremez表示,“我們非常有信心地相信虛擬專用網絡SSL泄漏很可能是為了推廣新的RAMP 勒索軟件論壇,為想要成為勒索軟件運營商的人提供“免費贈品”。
Groove是一個相對較新的勒索軟件操作,目前在其數據泄露網站上只有一名受害者。然而,通過向網絡犯罪社區提供免費贈品,他們可能希望招募其他威脅行為者加入他們的附屬系統。
Fortinet 虛擬專用網絡服務器管理員應該怎么做?
雖然無法合法驗證憑據列表,但作為 Fortinet 虛擬專用網絡服務器的管理員,應該假設列出的許多憑據都是有效的并積極采取預防措施。
這些預防措施包括強制重置所有用戶的密碼,以確保安全,并檢查您的日志,以防可能的入侵。如果有任何可疑的地方,應該立即確保安裝了最新的補丁,進行更徹底的調查,并確保重置了用戶的密碼。
數據是網絡運營的核心,隨著大數據時代加快社會發展,數據企業及個人數據在生產生活中不斷傳輸運轉。數據也是網絡攻擊者用以勒索的”籌碼“,在多起重大勒索事件中,企業花費巨額贖金才確保數據安全。
參讀來源:
Bleeping Computer
來源:FreeBuf.COM