黑客利用 Fortinet VPN 漏洞部署新型 Cring 勒索軟件

攻擊者正在積極利用Fortinet VPN中的 CVE-2018-13379 漏洞，將Cring勒索軟件部署到工業領域的組織中。

威脅行動者正在積極利用Fortinet VPN中的CVE-2018-13379漏洞向工業部門組織新的勒索軟件，稱為Cring勒索軟件（也稱為Crypt3r，Vjiszy1lo，Ghost，Phantom）。

CVE-2018-13379是FortiOS SSL VPN web門戶中的一個路徑遍歷漏洞，未經身份驗證的攻擊者可能會利用該漏洞通過特別定制的HTTP資源請求下載FortiOS系統文件。

該CRING勒索出現在威脅環境在一月份，它是第一個報道由Amigo_A和瑞士電信的CSIRT團隊。該勒索軟件使用AES-256 + RSA-8192加密來自受害者的數據，然后要求大約2比特幣贖金來取回文件。

“由卡巴斯基ICS CERT專家對其中一家受攻擊的企業進行的事件調查顯示，對Cring勒索軟件的攻擊利用了Fortigate VPN服務器中的漏洞。” 閱讀卡巴斯基發表的文章。

“這些攻擊的受害者包括歐洲國家的工業企業。至少在一種情況下，由于用于控制工業過程的服務器被加密，勒索軟件的攻擊導致了工業過程的臨時關閉。”

一旦獲得對目標網絡中系統的訪問權限，攻擊者便下載了Mimikatz實用程序，以竊取登錄到受感染系統的Windows用戶的憑據。

威脅域管理員帳戶后，威脅參與者可以將惡意軟件分發到同一網絡上的其他系統。攻擊者還使用了Cobalt Strike開發后框架來部署勒索軟件。

在一種情況下，用于控制工業過程的服務器的勒索軟件感染導致了該過程的臨時關閉。

“此事件的主要原因包括在Fortigate VPN服務器上使用了過時且易受攻擊的固件版本（在攻擊時使用了6.0.2版），這使攻擊者能夠利用CVE-2018-13379漏洞并獲得對企業網絡的訪問權限。” 卡巴斯基繼續。

“針對受攻擊系統使用的安全解決方案缺乏及時的防病毒數據庫更新，這也起到了關鍵作用，阻止了解決方案檢測和阻止威脅。還應注意，已禁用了防病毒解決方案的某些組件，從而進一步降低了保護質量。* *導致事件發展的其他因素包括在域策略中配置的用戶帳戶特權設置以及RDP訪問的參數。”

卡巴斯基在報告中還分享了危害指標（IOC）。

4月初，聯邦調查局（FBI）和網絡安全與基礎設施安全局（CISA）發布了聯合警報，以警告APT團體針對使用多種漏洞的Fortinet FortiOS服務器進行的攻擊。

威脅參與者正在積極利用Fortinet FortiOS中的以下漏洞：

• CVE-2018-13379 ;
• CVE-2020-12812 ;
• CVE-2019-5591 ;