Fortinet

Fortinet被盗的防火墙数据非常详尽，但已经有两年多的历史了，这意味着大多数遵循基本安全措施的企业面临的风险都很小。 Fortinet,Inc.是一家美国网络安全公司，总部位于加利福尼亚州桑尼维尔。该公司开发和销售防火墙、端点安全和入侵检测系统等安全解决方案。Fortinet在世界各地设有办事处。 Ken Xie和Michael Xie兄弟于2000年创立了Fortinet。该公司的第一款也是主要的产品是物理防火墙FortiGate。该公司后来增加了无线接入点、沙盒和消息安全。该公司于2009年11月上市。 自称贝尔森集团（Belsen Group）的黑客组织在暗网上泄露了Fortinet防火墙用户的详细信息。15474台Fortinet设备的过时配置数据和虚拟专用网络（VPN）凭证被免费发布到暗网上。 安全研究员Kevin Beaumont审查了该数据转储，他相信它是真实的，因为发布数据中的设备在Shodan搜索引擎上列出，并共享相同的唯一序列号。 1月14日，Fortinet披露了其FortiOS操作系统和FortiProxyWeb网关中存在的严重身份验证绕过漏洞（CVE-2024-55591）。要了解此类漏洞的后果，只需看看2022年10月的一个并行漏洞，该漏洞至今仍在引起轰动。 研究人员Amram Englander在GitHub上发布了与此次泄漏相关的15474个IP地址列表，他建议受影响的组织检查其CVE-2022-40684的补丁历史记录，这是Fortinet于2022年发现的一个零日漏洞，影响FortiOS、FortiProxy和FortiSwitchManager，已知该漏洞已被积极利用。Englander在LinkedIn上的一篇帖子中表示，他们还应该更改设备凭据，评估防火墙规则的暴露程度并降低风险。 当时，Fortinet发布了有关CVE-2022-40684的紧急安全警告，这是一个影响FortiOS、FortiProxy和自动FortiSwitchManager的等效身份验证绕过漏洞。它在通用漏洞评分系统(CVSS)中获得了9.8的“严重”评级，允许任何未经身份验证的攻击者通过特制的HTTP请求对易受攻击的设备执行管理操作。该漏洞被披露后，安全研究人员开发了一个概念验证（PoC）漏洞利用程序，这是一个用于扫描易受攻击设备的模板，并观察了漏洞利用尝试的不断增加。 就在本周CVE-2024-55591被披露的同一天，一个名为“Belsen Group”的威胁行为者发布了属于15,000多台Fortinet设备的数据。CloudSEK的研究人员在一篇博文中指出，这些数据是通过CVE-2022-40684窃取的，而当时该漏洞还是零日漏洞。现在，他们写道：“一旦他们用尽了自己的用途（通过出售或使用访问权限），威胁行为者就决定在2025年将其泄露出去。” “Belsen Group”可能的起源线索 贝尔森集团（Belsen Group）在网络犯罪网站BreachForums上发帖称：“2025年将是世界的幸运之年”（同时巧妙地隐瞒了其数据是在两年多前收集的）。该企业在暗网网站上发布的1.6GB文件可免费访问，并按国家/地区、IP地址和防火墙端口号整齐地排列在文件夹中。 受影响的设备似乎遍布各大洲，其中比利时、波兰、美国和英国最为集中，每个国家都有超过20台设备受害。 另一方面，安全研究员Kevin Beaumont（又名GossiTheDog）在一篇博客文章中指出，Fortinet存在业务的每个国家都出现在数据中，只有一个国家除外：伊朗，尽管Shodan显示该国目前有近2,000台可访问的Fortinet设备。此外，整个俄罗斯只有一台受影响的设备，从技术上讲，它位于俄罗斯从乌克兰吞并的克里米亚地区。 这些数据点可能并不重要，，也可能是贝尔森集团（Belsen Group）的归属线索。它似乎是本月突然出现的，尽管CloudSEK“高度确信”该企业至少已经存在三年了，并且“他们很可能是2022年利用零日漏洞的威胁企业的一部分，尽管尚未确定直接关联。” 网络安全的风险有哪些？ 泄露的列表包含两种类型的文件夹。第一个文件夹“config.conf”包含受影响的设备配置：IP地址、用户名和密码、设备管理证书以及受影响企业的所有防火墙规则。这些数据是通过CVE-2022-40684窃取的。另一个文件夹“vpn-password.txt”中是SSL-VPN凭据。据Fortinet称，这些凭据是通过更老的路径遍历漏洞CVE-2018-13379从设备获取的。 尽管这些数据现在已经相当陈旧，但Beaumont写道：“虽然这些数据现在都已经相当陈旧，但拥有包括所有防火墙规则在内的完整设备配置……信息量很大。”CloudSEK也指出，泄露的防火墙配置可能会泄露有关企业内部网络结构的信息，这些信息可能至今仍然适用。 企业通常也不会更新用户名和密码，从而允许旧用户名和密码继续引发问题。在检查转储中包含的设备时，Beaumont报告称，旧的身份验证与仍在使用的身份验证相匹配。 Fortinet则在1月16日发布的一份安全分析报告中试图消除人们的担忧。它解释道：“如果您的企业在过去几年中一直坚持定期更新安全凭证的常规最佳做法，并采取了建议的措施，那么威胁行为者泄露企业当前配置或凭证详细信息的风险就很小。”

2024年美国总统大选即将到来，”暗网下/AWX“早就发出预警，恶意行为者正在利用围绕选举季的关注和活动实施诈骗。 Fortinet最近发布了其FortiGuard实验室的威胁情报报告：针对2024年美国总统大选的威胁行为者，该报告揭示并分析了2024年1月至2024年8月观察到的与美国实体、选民和选举过程相关的威胁。研究人员发现，网络钓鱼诈骗、恶意域名注册和其他威胁活动可能会影响选举过程的完整性和可信度以及参与选举公民的福利。 了解日益增长的威胁和风险有助于企业领导者、公民和选举官员在选举季及以后的时间里遵守政策并采用技术来预防和减轻恶意网络事件。 网络钓鱼诈骗和欺诈网站瞄准选民 网络钓鱼是当今最常见的网络攻击技术之一。网络犯罪分子利用人工智能（AI）来加速、扩大和提高其诈骗的可信度，从而增加了这种威胁。 FortiGuard实验室研究团队发现，恶意攻击者在暗网上以每件1260美元的价格出售用于冒充美国总统候选人及其竞选团队的网络钓鱼工具包。这些工具包以选民和捐赠者为目标，在捐赠诈骗中获取姓名、地址和信用卡详细信息等个人信息。 人是网络安全的第一道防线。为了避免成为网络钓鱼攻击的受害者，企业和技术领导者必须定期进行培训，以提高对常见网络钓鱼策略和其他骗局的认识。Fortinet在其《2024年安全意识和培训全球研究报告》中称，近70%的受访者认为他们的员工缺乏关键的网络安全知识，这一比例高于2023年的56%。持续的培训活动应提供识别网络钓鱼电子邮件、避免可疑链接和附件以及报告潜在网络钓鱼企图的指导。 除了冒充美国总统候选人及其竞选团队的网络钓鱼工具包外，自2024年1月以来，FortiGuard实验室的研究人员还发现了1000多个新注册的域名，这些域名包含了与选举相关的术语和对著名政治人物的引用。这强调了在重大事件发生前保持对可疑行为或活动的警惕以及优先考虑良好的网络卫生的重要性。 人为错误始终是一个挑战，因为即使是训练有素的员工也可能成为网络钓鱼攻击和其他欺诈行为的受害者。在计算机上安装杀毒软件可以增加一层额外的保护，尤其是针对网络钓鱼攻击和凭证盗窃。 威胁行为者在暗网上出售敏感数据 暗网已成为美国乃至全球特定威胁的中心，恶意行为者在这里交易敏感信息，并经常制定利用漏洞的策略。这些暗网论坛上大约3%的帖子涉及与企业和政府实体相关的数据库。这些数据库保存着易受网络攻击的关键组织数据，是选举季威胁行为者的主要目标。 FortiGuard实验室分析发现，暗网论坛上存在大量针对美国的各种数据库，包括社会安全号码、用户名、电子邮件地址、密码、信用卡数据、出生日期和其他个人身份信息，这些信息可用于挑战2024年美国总统大选的公正性。例如，数十亿条记录可用于虚假信息宣传，这可能导致欺诈活动、网络钓鱼诈骗和账户接管。 超过13亿行的组合列表（包括用户名、电子邮件地址和密码）意味着凭证填充攻击的风险相当大。在此类攻击中，网络犯罪分子利用窃取的凭据对账户进行未经授权的访问。执行多因素身份验证和强大的密码策略有助于企业和消费者防止数据和凭证被盗。 此外，企业应利用安全分析、自动化和响应平台，该平台可以检测特权用户的异常活动，并在必要时阻止此类活动。随着勒索软件攻击的增加，保持完整和最新的数据备份至关重要。然而，并非所有的数据备份策略都是一样的。例如，技术领导者不应完全依赖在线备份，应避免在生产环境和备份中使用相同的密码。建议在另一个异地维护云备份。此外，所有备份都应加密并设置访问控制。 在危险的数字环境中预防和减轻网络攻击 综上所述，网络安全措施对于维护美国2024年总统大选的公正性和保护社会至关重要。 企业领导者和公民必须防范潜在攻击，采取主动措施，并在这一关键时期保持警惕。