黑客正在銷售最新Fortinet漏洞的訪問方式

安全廠商發現，稍早發現的Fortinet網絡設備軟件漏洞已經有黑客公開銷售訪問的方法。

10月間Fortinet修補了零時差漏洞CVE-2022-40684，它是HTTP/HTTPS管理接口的驗證繞過漏洞，可被遠程濫用，風險值列為9.6，屬于重大風險。這項漏洞影響多項產品，包括FortiOS、FortiProxy和FortiSwitchManager。

Fortinet當時提醒用戶應盡快更新，因為公開前已經遭到濫用。如今專門監控暗網上犯罪活動及漏洞情報的廠商Cyble發現，俄羅斯地下網絡論壇上，已經有人公開發布消息，以銷售訪問Fortinet VPN設備的憑證資訊。

圖片來源／Cyble

Cyble發現的是“多個”未授權FortiOS設備的訪問資訊，包括網址、管理員用戶的SSH Key。分析這些訪問資訊顯示，攻擊者企圖將公開密鑰加入到受害企業管理員賬號中，借此冒充管理員訪問Fortinet設備。

根據資料，這些受害企業用的都是過時版本的FortiOS。研究人員相信，發布廣告的攻擊者應該是對CVE-2022-40684發動攻擊。

圖片來源／Cyble

通過冒充Fortinet管理員，攻擊者可修改管理SSH密鑰、添加本機用戶、修改網絡配置變更流量路徑、下載系統配置資訊、抓取封包截取其他敏感系統或網絡資訊，再于暗網銷售。

Cyble研究人員指出，針對Fortinet執行實例的攻擊行動，從10月17日起就持續至今。這個時間點大約等同Fortinet第一波悄悄發通知用戶更新軟件的時間。

研究人員呼吁用戶盡快安裝修補程序，因為網絡上已公開的概念驗證（PoC）程序及自動化工具，讓攻擊者在漏洞公布幾天之內就能發動攻擊。