针对Fortinet防火墙的勒索软件攻击报告揭示了可能的防御措施
字数 1379 2025-08-29 08:30:12

Fortinet防火墙勒索软件攻击防御指南

攻击概述

一个名为Mora_001的勒索软件团伙正在利用Fortinet防火墙中的两个身份验证绕过漏洞(CVE-2024-55591和CVE-2025-24472)部署名为SuperBlack的新型勒索软件,该软件与LockBit 3.0(也称为LockBit Black)非常相似。

关键漏洞信息

  • 漏洞编号: CVE-2024-55591和CVE-2025-24472
  • 影响版本: 运行FortiOS 7.0.16之前版本的Fortigate设备
  • 利用条件: 管理接口暴露在互联网上
  • 漏洞效果: 允许未经身份验证的攻击者获得super_admin权限

攻击时间线

  1. 2023年11月底/12月初: 首次发现漏洞被利用
  2. 2024年1月14日: Fortinet发布安全公告
  3. 2024年1月27日: 漏洞概念验证代码被公开
  4. 2024年1月31日: 开始发现客户入侵事件
  5. 2024年2月11日: Fortinet在初始公告中添加CVE-2025-24472

攻击案例分析

案例1: 暴露的管理接口

  • 攻击方式: 威胁行为者利用暴露在互联网上的防火墙管理接口
  • 暴露设备统计(截至2025年3月12日):
    • 美国: 7,677台
    • 印度: 5,536台
    • 巴西: 3,201台
  • 防御措施: 尽可能禁用防火墙的外部管理访问

案例2: 伪造管理员账户

  • 攻击方式: 创建名为"adnimistrator"(拼写错误)的新管理员账户
  • 防御措施:
    • 监控所有管理员账户的变化
    • 了解所有应用程序和设备的管理账户数量
    • 警惕账户数量变化和拼写错误的账户名称

案例3: VPN用户账户伪造

  • 攻击方式:
    • 创建与合法账户名称相似但末尾添加数字的本地VPN用户账户
    • 将这些新用户添加到VPN用户组中
    • 手动为新创建的用户分配密码
  • 攻击目的: 规避日常管理审查检测,保持持久访问
  • 防御措施: 同案例2

攻击后行为模式

  1. 在多个受害者网络中创建相同的用户名
  2. 使用重叠IP地址进行初始访问、攻击后操作和命令控制(C2)
  3. 受攻击环境中的类似配置备份行为
  4. 勒索软件部署速度:
    • 安全控制薄弱: 48小时内迅速部署
    • 安全控制严格: 进行更长时间的侦察

防御措施

基础网络安全措施

  1. 及时应用补丁: Fortinet已发布覆盖这两个漏洞的补丁
  2. 禁用外部管理访问: 尽可能不将防火墙管理接口暴露在互联网上
  3. 账户监控:
    • 监控所有管理员账户变化
    • 建立已知管理员账户基线
    • 对异常账户创建行为设置警报
  4. VPN用户监控: 特别关注名称相似但添加数字的VPN用户账户

深度防御策略

  1. 网络分段: 隔离关键系统,限制横向移动
  2. 日志收集与分析: 集中收集和分析防火墙日志
  3. 备份策略: 确保配置和数据的定期备份,并测试恢复流程
  4. 入侵检测: 部署IDS/IPS系统检测异常行为

CISO关键建议

  1. 即使威胁行为者拥有零日漏洞利用,深度防御也能大大降低被攻击风险
  2. 补丁管理是基础,但基础安全措施同样重要
  3. 建立全面的监控系统,特别关注账户创建和权限变更
  4. 定期审计网络设备配置,特别是面向互联网的设备

总结

Mora_001攻击活动表明,即使存在零日漏洞,组织仍可通过基本网络安全措施发现并缓解攻击。防御的关键在于及时修补、最小化攻击面和全面监控的结合。

Fortinet防火墙勒索软件攻击防御指南 攻击概述 一个名为Mora_ 001的勒索软件团伙正在利用Fortinet防火墙中的两个身份验证绕过漏洞(CVE-2024-55591和CVE-2025-24472)部署名为SuperBlack的新型勒索软件,该软件与LockBit 3.0(也称为LockBit Black)非常相似。 关键漏洞信息 漏洞编号 : CVE-2024-55591和CVE-2025-24472 影响版本 : 运行FortiOS 7.0.16之前版本的Fortigate设备 利用条件 : 管理接口暴露在互联网上 漏洞效果 : 允许未经身份验证的攻击者获得super_ admin权限 攻击时间线 2023年11月底/12月初 : 首次发现漏洞被利用 2024年1月14日 : Fortinet发布安全公告 2024年1月27日 : 漏洞概念验证代码被公开 2024年1月31日 : 开始发现客户入侵事件 2024年2月11日 : Fortinet在初始公告中添加CVE-2025-24472 攻击案例分析 案例1: 暴露的管理接口 攻击方式 : 威胁行为者利用暴露在互联网上的防火墙管理接口 暴露设备统计(截至2025年3月12日) : 美国: 7,677台 印度: 5,536台 巴西: 3,201台 防御措施 : 尽可能禁用防火墙的外部管理访问 案例2: 伪造管理员账户 攻击方式 : 创建名为"adnimistrator"(拼写错误)的新管理员账户 防御措施 : 监控所有管理员账户的变化 了解所有应用程序和设备的管理账户数量 警惕账户数量变化和拼写错误的账户名称 案例3: VPN用户账户伪造 攻击方式 : 创建与合法账户名称相似但末尾添加数字的本地VPN用户账户 将这些新用户添加到VPN用户组中 手动为新创建的用户分配密码 攻击目的 : 规避日常管理审查检测,保持持久访问 防御措施 : 同案例2 攻击后行为模式 在多个受害者网络中创建相同的用户名 使用重叠IP地址进行初始访问、攻击后操作和命令控制(C2) 受攻击环境中的类似配置备份行为 勒索软件部署速度: 安全控制薄弱: 48小时内迅速部署 安全控制严格: 进行更长时间的侦察 防御措施 基础网络安全措施 及时应用补丁 : Fortinet已发布覆盖这两个漏洞的补丁 禁用外部管理访问 : 尽可能不将防火墙管理接口暴露在互联网上 账户监控 : 监控所有管理员账户变化 建立已知管理员账户基线 对异常账户创建行为设置警报 VPN用户监控 : 特别关注名称相似但添加数字的VPN用户账户 深度防御策略 网络分段 : 隔离关键系统,限制横向移动 日志收集与分析 : 集中收集和分析防火墙日志 备份策略 : 确保配置和数据的定期备份,并测试恢复流程 入侵检测 : 部署IDS/IPS系统检测异常行为 CISO关键建议 即使威胁行为者拥有零日漏洞利用,深度防御也能大大降低被攻击风险 补丁管理是基础,但基础安全措施同样重要 建立全面的监控系统,特别关注账户创建和权限变更 定期审计网络设备配置,特别是面向互联网的设备 总结 Mora_ 001攻击活动表明,即使存在零日漏洞,组织仍可通过基本网络安全措施发现并缓解攻击。防御的关键在于及时修补、最小化攻击面和全面监控的结合。