零日漏洞

Fortinet被盗的防火墙数据非常详尽，但已经有两年多的历史了，这意味着大多数遵循基本安全措施的企业面临的风险都很小。 Fortinet,Inc.是一家美国网络安全公司，总部位于加利福尼亚州桑尼维尔。该公司开发和销售防火墙、端点安全和入侵检测系统等安全解决方案。Fortinet在世界各地设有办事处。 Ken Xie和Michael Xie兄弟于2000年创立了Fortinet。该公司的第一款也是主要的产品是物理防火墙FortiGate。该公司后来增加了无线接入点、沙盒和消息安全。该公司于2009年11月上市。 自称贝尔森集团（Belsen Group）的黑客组织在暗网上泄露了Fortinet防火墙用户的详细信息。15474台Fortinet设备的过时配置数据和虚拟专用网络（VPN）凭证被免费发布到暗网上。 安全研究员Kevin Beaumont审查了该数据转储，他相信它是真实的，因为发布数据中的设备在Shodan搜索引擎上列出，并共享相同的唯一序列号。 1月14日，Fortinet披露了其FortiOS操作系统和FortiProxyWeb网关中存在的严重身份验证绕过漏洞（CVE-2024-55591）。要了解此类漏洞的后果，只需看看2022年10月的一个并行漏洞，该漏洞至今仍在引起轰动。 研究人员Amram Englander在GitHub上发布了与此次泄漏相关的15474个IP地址列表，他建议受影响的组织检查其CVE-2022-40684的补丁历史记录，这是Fortinet于2022年发现的一个零日漏洞，影响FortiOS、FortiProxy和FortiSwitchManager，已知该漏洞已被积极利用。Englander在LinkedIn上的一篇帖子中表示，他们还应该更改设备凭据，评估防火墙规则的暴露程度并降低风险。 当时，Fortinet发布了有关CVE-2022-40684的紧急安全警告，这是一个影响FortiOS、FortiProxy和自动FortiSwitchManager的等效身份验证绕过漏洞。它在通用漏洞评分系统(CVSS)中获得了9.8的“严重”评级，允许任何未经身份验证的攻击者通过特制的HTTP请求对易受攻击的设备执行管理操作。该漏洞被披露后，安全研究人员开发了一个概念验证（PoC）漏洞利用程序，这是一个用于扫描易受攻击设备的模板，并观察了漏洞利用尝试的不断增加。 就在本周CVE-2024-55591被披露的同一天，一个名为“Belsen Group”的威胁行为者发布了属于15,000多台Fortinet设备的数据。CloudSEK的研究人员在一篇博文中指出，这些数据是通过CVE-2022-40684窃取的，而当时该漏洞还是零日漏洞。现在，他们写道：“一旦他们用尽了自己的用途（通过出售或使用访问权限），威胁行为者就决定在2025年将其泄露出去。” “Belsen Group”可能的起源线索 贝尔森集团（Belsen Group）在网络犯罪网站BreachForums上发帖称：“2025年将是世界的幸运之年”（同时巧妙地隐瞒了其数据是在两年多前收集的）。该企业在暗网网站上发布的1.6GB文件可免费访问，并按国家/地区、IP地址和防火墙端口号整齐地排列在文件夹中。 受影响的设备似乎遍布各大洲，其中比利时、波兰、美国和英国最为集中，每个国家都有超过20台设备受害。 另一方面，安全研究员Kevin Beaumont（又名GossiTheDog）在一篇博客文章中指出，Fortinet存在业务的每个国家都出现在数据中，只有一个国家除外：伊朗，尽管Shodan显示该国目前有近2,000台可访问的Fortinet设备。此外，整个俄罗斯只有一台受影响的设备，从技术上讲，它位于俄罗斯从乌克兰吞并的克里米亚地区。 这些数据点可能并不重要，，也可能是贝尔森集团（Belsen Group）的归属线索。它似乎是本月突然出现的，尽管CloudSEK“高度确信”该企业至少已经存在三年了，并且“他们很可能是2022年利用零日漏洞的威胁企业的一部分，尽管尚未确定直接关联。” 网络安全的风险有哪些？ 泄露的列表包含两种类型的文件夹。第一个文件夹“config.conf”包含受影响的设备配置：IP地址、用户名和密码、设备管理证书以及受影响企业的所有防火墙规则。这些数据是通过CVE-2022-40684窃取的。另一个文件夹“vpn-password.txt”中是SSL-VPN凭据。据Fortinet称，这些凭据是通过更老的路径遍历漏洞CVE-2018-13379从设备获取的。 尽管这些数据现在已经相当陈旧，但Beaumont写道：“虽然这些数据现在都已经相当陈旧，但拥有包括所有防火墙规则在内的完整设备配置……信息量很大。”CloudSEK也指出，泄露的防火墙配置可能会泄露有关企业内部网络结构的信息，这些信息可能至今仍然适用。 企业通常也不会更新用户名和密码，从而允许旧用户名和密码继续引发问题。在检查转储中包含的设备时，Beaumont报告称，旧的身份验证与仍在使用的身份验证相匹配。 Fortinet则在1月16日发布的一份安全分析报告中试图消除人们的担忧。它解释道：“如果您的企业在过去几年中一直坚持定期更新安全凭证的常规最佳做法，并采取了建议的措施，那么威胁行为者泄露企业当前配置或凭证详细信息的风险就很小。”

卡巴斯基发布最新研究报告，称在2023年1月至2024年9月期间，卡巴斯基数字足迹情报专家发现了547个针对软件漏洞的漏洞利用程序的购买和销售清单。 这些广告发布在各种暗网论坛和影子Telegram频道上，其中一半涉及零日（0day）漏洞和一日（1day）漏洞。 然而，由于暗网市场充斥着各种骗局，因此很难确认这些漏洞是否能正常使用。此外，卡巴斯基还发现，远程代码执行漏洞的平均成本高达10万美元。 漏洞利用是网络犯罪分子利用各种软件程序（例如微软的软件程序）中的漏洞进行非法活动（例如获取未经授权的访问或窃取数据）的工具。 超过一半的暗网帖子（51%）提供或寻求购买0day漏洞或1day漏洞的利用程序。0day漏洞针对的是软件供应商尚未识别和修补的未发现漏洞，而1day漏洞则针对的是未安装补丁的系统。 “漏洞利用可以针对任何程序，但最理想和最昂贵的漏洞利用通常针对企业级软件。这些利用工具使网络犯罪分子能够进行网络攻击，这相当于为他们带来可观的收益，例如窃取企业信息或在不被发现的情况下监视企业。 然而，暗网上的一些漏洞利用优惠可能是虚假的或不完整的，这意味着它们无法像宣传的那样发挥作用。此外，很大一部分交易可能是私下进行的。 卡巴斯基数字足迹情报高级分析师安娜·帕夫洛夫斯卡娅（Anna Pavlovskaya）解释道：“这两个因素使对功能性漏洞的实际市场容量的评估变得复杂。” 暗网市场提供各种大量不同类型的漏洞利用程序。其中最普遍的两种是RCE（远程代码执行）漏洞和LPE（本地权限提升）漏洞。 根据对20多个列表的分析，RCE漏洞的平均价格约为10万美元，而LPE漏洞的价格通常约为6万美元。RCE漏洞被认为更危险，因为它们允许攻击者远程控制一个系统或其组件，或者远程获取机密数据。 今年，漏洞销售和购买的峰值出现在5月份，相关暗网帖子数量达到50个，而漏洞买卖激增的高峰期前后，平均每月约有26个相关帖子。“漏洞市场活动的峰值难以预测，很难与特定事件联系起来。 Anna Pavlovskaya详细说明：“有趣的是，5月份，暗网上出现了分析期间最昂贵的漏洞利用程序之一的出售——据称​​，微软Outlook零日漏洞的价格接近200万美元。” “总体而言，漏洞市场保持稳定；虽然活动有所波动，但威胁始终存在。这凸显了采取网络安全措施的必要性，例如定期修补和监控暗网上的数字资产。” ”暗网下/AWX“援引卡巴斯基的观点，为了应对与漏洞和利用相关的威胁，以下措施是有效的： 使用暗网监控服务来监测市场是否存在任何相关的网络威胁。 拥有强大的端点保护功能，使用来自值得信赖的安全厂商商的EDR和XDR来增强企业的安全性。 定期进行安全测试，以识别并修补漏洞，防止其成为攻击者的入口点。