针对Fortinet防火墙的勒索软件攻击报告揭示了可能的防御措施
💡
原文中文,约2200字,阅读约需6分钟。
📝
内容提要
研究人员发现Mora_001勒索软件团伙利用Fortinet防火墙的两个漏洞进行攻击。尽管存在零日漏洞,基本的网络安全措施仍能发现并缓解这些攻击。教训包括禁用外部管理访问和监控管理员账户变化。Fortinet已发布补丁,未及时更新的组织面临风险。
🎯
关键要点
- Mora_001勒索软件团伙利用Fortinet防火墙的两个身份验证绕过漏洞进行攻击。
- 尽管存在零日漏洞,基本的网络安全措施仍能发现并缓解这些攻击。
- 教训1:禁用防火墙的外部管理访问,以减少被攻击的风险。
- 教训2:监控所有管理员账户的变化,注意拼写错误的账户名称。
- 教训3:创建与合法账户名称相似的本地VPN用户账户以保持持久访问。
- Fortinet已发布补丁,未及时更新的组织面临风险。
- CVE-2024-55591和CVE-2025-24472允许未经身份验证的攻击者获得super_admin权限。
- 攻击者在多个受害者网络中创建相同的用户名,显示出一致的攻击模式。
- Forescout观察到三种类型的攻击,包括使用PoC和直接利用WebSocket漏洞。
- CISO应注意深度防御的重要性,以降低被攻击的风险。
❓
延伸问答
Mora_001勒索软件团伙是如何利用Fortinet防火墙的漏洞进行攻击的?
Mora_001勒索软件团伙利用Fortinet防火墙的两个身份验证绕过漏洞(CVE-2024-55591和CVE-2025-24472)进行攻击,允许未经身份验证的攻击者获得super_admin权限。
有哪些基本的网络安全措施可以防止此类攻击?
基本的网络安全措施包括禁用防火墙的外部管理访问、监控管理员账户的变化,以及创建与合法账户名称相似的本地VPN用户账户。
Fortinet对这些漏洞采取了什么补救措施?
Fortinet已发布补丁以修复这些漏洞,组织应及时更新以避免风险。
攻击者在多个受害者网络中表现出什么样的攻击模式?
攻击者在多个受害者网络中创建相同的用户名,并使用重叠的IP地址进行初始访问和命令控制操作。
CISO在防御这些攻击时应注意什么?
CISO应注意深度防御的重要性,以降低被攻击的风险,并监控所有管理员账户的变化。
未及时更新Fortinet防火墙的组织面临什么风险?
未及时更新的组织面临被攻击的风险,攻击者可能利用已知漏洞进行入侵。
➡️
