一个新的黑客组织在暗网上免费泄露了超过 15,000 台 FortiGate 设备的配置文件、IP 地址和 VPN 帐户,向其他网络犯罪分子暴露了大量敏感技术信息。
这些泄露的数据是“贝尔森集团”,这是本月首次出现在社交媒体和网络犯罪论坛上的一个新黑客组织。为了宣传自己,贝尔森集团创建了一个 Tor 网站,免费发布 FortiGate 数据转储,供其他威胁行为者使用。
“一开始,为了给我们一个积极的开端,也为了让我们组织的名字牢牢地印刻在你们的记忆中,我们自豪地宣布我们的第一个正式行动:将公布来自全球15,000多个参与者黑客攻击的目标(包括政府和贸易部门)的敏感数据及其提取数据”,黑客论坛帖子写道。
黑客论坛上的帖子
FortiGate泄露的文件大小为1.6 GB,其中包含按国家/地区排序的文件夹。每个文件夹都包含该国每个FortiGate IP地址的子文件夹。
据德国海斯安全(heise security)获得了数据集并初步进行了粗略分析。它是一个ZIP文件,共有 145个子目录,每个国家/地区都有一个受影响的设备。攻击者捕获了其中的大部分,即墨西哥的1,603个FortiNet 配置、美国的679个和德国的208个。这些IP地址主要位于德国电信和沃达丰网络中,但也包括其他知名的互联网提供商和主机。
是否有中国的设备,还需要从原始数据中进行统计分析。
截图自Belesn的暗网
FortiGate设备及其配置的IP文件夹地址来源:Beaumont
据网络安全专家Kevin Beaumont介绍,每个IP地址都有一个configuration.conf(Fortigate配置转储)和一个VPN-passwords.txt文件,其中一些密码是纯文本。配置还包含敏感信息,例如私钥和防火墙规则。
在一篇关于FortiGate泄露密事件的博客中,博蒙特表示,此次泄露密事件被认为与2022年的一个零日漏洞CVE-2022-40684有关,该漏洞在修复程序发布之前就已在攻击中被利用。
“我在受害组织的一个设备上发生事件响应,根据设备上的记录,漏洞确实是通过CVE-2022-40684进行的。我还能够验证转储中看到的用户名和密码是否与设备上面的详细信息一致,”博蒙特解释道。
“这些数据似乎是在 2022 年 10 月作为零日漏洞收集的。不知何故,配置的数据转储今天才发布,只需两年后。”
2022年,Fortinet警告称,威胁行为者正在利用被追踪为CVE-2022–40684的零日漏洞从目标FortiGate设备下载配置文件,然后添加一个名为“fortigate-tech-support”的恶意超级管理员帐户。
CVE-2022-40684 攻击添加了恶意管理员账户,来源:Fortinet
德国新闻网站Heise对此次泄露的数据进行了分析,并表示数据是在2022年收集的,所有设备都使用FortiOS固件7.0.0-7.0.6或7.2.0-7.2.2。
Heise报告称:“所有设备都配备了FortiOS 7.0.0-7.0.6或7.2.0-7.2.2,大多数设备都配备了7.2.0 版本。我们在数据库中没有发现任何比2022年10月3日发布的7.2.2版本更新了FortiOS版本。”
然而,FortiOS 7.2.2修复了CVE-2022–40684漏洞,因此尚坟运行该版本的设备如何利用此漏洞。
尽管这些配置文件是在 2022年收集的,但博蒙特警告说,它们仍然暴露了大量有关网络防御的敏感信息。
这包括防火墙规则和规则,如果当时没有更改,那么现在数据已经发布给应该更广泛的威胁行为者,就立即更改。
博蒙特表示,他计划公布此次泄露的IP地址列表,以便FortiGate管理员了解此次泄露是否对他们造成了影响。
这些数据从哪里来的呢?目前的线索看,很可能是在2022年秋季被盗的,但是未知的攻击者是从哪里以及如何获取敏感信息的呢?目前对此只有猜测。其中一个配置文件包含“利用目标:IP:端口”行,这表明针对每个防火墙的利用。从厂商处泄漏(例如 FortiNet本身)似乎不太可能,因为制造商根本不将配置文件存储在自己的云中。
与最近发布的FortiNet产品中有时存在关键安全漏洞的联系似乎也被排除了。现有数据太旧 - 如果攻击者几天前才潜入防火墙,他们可能会窃取更多当前信息。
来自主要网络运营商的专家确认,他们已经与 BSI 和其他当局密切合作,通知所有受影响的客户并收集有关攻击者的信息。他们的动机和数据的来源仍不清楚。德国方面在1 月15 日上午晚些时候要求FortiNet 新闻办公室发表声明,但迄今为止也保持沉默。
BleepingComputer还联系了威胁行为者和Fortinet,询问有关泄密的问题,如果收到回复,我们将更新报道。
参考资源
1、https://www.bleepingcomputer.com/news/security/hackers-leak-configs-and-vpn-credentials-for-15-000-fortigate-devices/
2、https://doublepulsar.com/2022-zero-day-was-used-to-raid-fortigate-firewall-configs-somebody-just-released-them-a7a74e0b0c7f
3、https://www.heise.de/news/Darknet-Konfigurationen-und-VPN-Passwoerter-von-Fortinet-Geraeten-aufgetaucht-10244015.html
