黑客公开逾4.9万台易受攻击 Fortinet VPN 设备的凭据

所涉及的漏洞是 CVE-2018-13379，是一个路径遍历缺陷，影响大量未修复的 Fortinet FortiOS SSL VPN 设备。

如漏洞遭利用，未认证的远程攻击者可通过特殊构造的 HTTP 请求访问系统文件。黑客公布的 exploit 可导致攻击者访问 Fortinet VPN 中的 sslvpn_websession 文件，窃取登录凭据。这些被盗凭据之后可用于攻陷网络和部署勒索软件。

该漏洞首次公开披露于2018年，不过研究人员发现了仍可遭攻击的约5万个目标。本周，威胁情报分析师 Bank_Security 发现某黑客论坛上有人分享了这类可遭利用的目标，涉及49,577 台设备。分析清单后发现，易受攻击的目标包括政府域名和著名银行和金融公司的域名，遍布全球。

BleepingComputer 指出，在这5万个域名中，超过40多个属于颇有声望的银行、金融机构和政府机构。

Bank Security 指出，发现论坛帖子后，他开始分析 IP 列表，识别受影响的组织机构。他指出，“为了更好地找出哪些企业受影响，我对清单上所有的 IP 进行 nslookup 操作，并为其中很多 IP 发现了关联域名。”之后他优化了所获结果，识别出和相关组织机构和著名银行相关联的域名。他指出，尽管这是一个易于利用的老洞，但组织机构的打补丁进程“非常慢”，使攻击者能够继续利用有名的 bug，“这是一个老旧的、著名的、易于利用的漏洞。攻击者在很长一段时间内利用它。遗憾的是，企业的打补丁进程非常缓慢，或者在互联网上的暴露边界不受控制。因此，攻击者能够相对容易地利用这些缺陷攻陷企业。”

该缺陷此前曾被用于入侵美国政府大选的支持系统。

建议网络管理员和安全专业人员立即修复这个严重的漏洞。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。