态势分析
Fortinet 注意到有报告称,恶意网络攻击者正针对 Fortinet 设备实施名为“FortiBleed”的凭据窃取活动。经初步分析,我们认为该活动源自威胁行为者复用以往安全事件(FG-IR-26-060、FG-IR-25-647)中的泄露凭据,并对密码强度较弱且未启用多因素身份认证(MFA)的设备实施暴力破解攻击(详情请见今年发布的研究博文《AI加速的攻击来袭,企业如何应对?》)。
早在发布相关安全公告时,Fortinet 便已提供详细的修复指导。我们再次强烈建议所有用户务必落实这些修复措施。
本次事件不涉及新的 Fortinet 漏洞,也与近期其他安全事件无关。
发现该情况后,我们立即对该事件展开了调查。
我的组织是否受到影响?
Fortinet 始终坚守积极主动、公开透明且负责任的产品安全披露文化,持续践行作为网络安全生态系统中一员的责任与使命担当,致力于协助客户制定知情、基于风险研判的明智决策。
Fortinet 已识别可能受影响的系统,并正在积极主动联系相关客户。为防范此类恶意网络活动,我们强烈建议受影响的 FortiGate 设备用户立即采取以下措施:
01
终止所有管理员及 VPN 会话,并重置相关凭据。终止所有正在运行的管理员会话;重置所有 Fortinet VPN 及管理员账户密码,尤其是面向互联网的系统,并强制执行强密码策略。
02
在所有管理员及 VPN 用户账户上启用多因素身份认证(MFA)。
03
请升级至 7.4、7.6 或 8.0 最新版本。这些版本支持对管理员凭据采用 PBKDF2 哈希算法。请参照官方指引,禁用并移除遗留的弱加密密码设置。
04
验证配置。检查防火墙、VPN 用户及其他关键设置是否存在未授权变更,并尽可能与已知良好的基线配置进行比对,尤其要留意是否有新增或来历不明的管理员账户,例如 “forticloud、fortiuser、fortinet-support、fortinet-tech-support” 等。
05
审查相关日志。关注是否存在来自未知 IP 的异常管理员访问行为,并检查域控制器日志,识别潜在的横向移动、异常访问、可疑账户或未经授权的配置篡改。
06
此外,应采取措施减少攻击面并锁定设备管理访问权限。例如通过可信主机限制外部管理连接(良好实践),配置本地入站策略进一步增强访问控制(更好实践),或彻底关闭设备的互联网管理接口(最佳实践)。
更多有关管理员访问安全及系统通用加固的最佳实践,请参阅《安全最佳实践指南》。
如发现任何未经批准的配置篡改或其他入侵指标(IoC):
● 请将相关设备视为已遭入侵,并严格按照官方提供的指引进行修复处理。
● 请重点检查是否存在新增的 VPN 用户、异常的密码重置行为,或来自异常地理位置的 VPN 登录,这些活动可能表明攻击者已尝试向内部网络进行横向移动。
● 如系统配置了 AD/LDAP 集成,请务必将该集成账户视作已遭入侵,密切监控您的 AD,防止其被用于外部认证或创建额外账户。同时,应在网络层面加强对横向移动行为的监控,确保及时发现并阻断攻击者的进一步渗透。
如果您认为内部网络可能已遭入侵,并希望 Fortinet 协助您进行网络侦查,请扫码获取支持和帮助。
Fortinet 始终在守护客户安全的坚定承诺与坚持负责任透明披露的文化之间,认真把握平衡。目前,我们仍在持续深入调查此次事件,并将客户安全置于一切工作的首位,积极采取可落地的应对措施。我们的响应与风险缓解工作仍在持续推进中,直至问题得到妥善解决。
全新上线Fortinet服务小助手,如需帮助请扫码垂询
相关文章
