记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

上万台Fortinet VPN设备登录凭证泄露:超一成位于中国

2021-09-09 13:38

  • 日前,有攻击者在黑客论坛放出了一份近50万条Fortinet VPN设备登录凭证清单,据分析里边包含12856台设备上的498908名用户的VPN登录凭证;

  • 安全研究人员发现,这些Fortinet VPN设备的IP分布在全球各地,其中位于中国(大陆+台湾)的设备占比11.89%,台湾占比8.45%,大陆占比3.44%;

  • 掌握VPN凭证的攻击者很可能访问目标网络,进而实施数据窃取、恶意软件安装与勒索软件攻击等活动。

日前,一名威胁行为者泄露了一份包含近50万条Fortinet VPN登录名与密码的庞大清单,据称这些名称与密码窃取自去年夏天的一次网络入侵活动。

虽然威胁行为者宣称,当时利用的Fortinet漏洞已被修复,但其中相当一部分VPN凭证仍然真实有效

此次泄露后果严重,掌握VPN凭证的攻击者很可能访问目标网络,进而实施数据窃取、恶意软件安装与勒索软件攻击等活动

Fortinet凭证被公布在黑客论坛之上

这次泄露的Fortinet凭证清单来自一名昵称为“Orange”的攻击者,他也是新近上线的RAMP黑客论坛的管理员以及Babuk勒索软件团伙的前任成员。

在与Babuk团伙的其他成员发生争执之后,Orange决定分道扬镳并成立RAMP,如今已经成为新的Groove勒索软件团伙的代表。

昨天,这名攻击者在RAMP上发了个新帖,其中包含一条据称指向数千个Fortinet VPN账户文件的链接。

RAMP黑客论坛上的帖子

与此同时,Groove勒索软件的数据泄露站点上也出现了一篇帖子,宣称已经有大批Fortiner VPN外泄。

在Groove数据泄露站点上发布的Fortinet凭证相关信息

这两篇帖子都指向Groove团伙用于托管被盗文件的Tor存储服务器上的同一个文件,目的自然是逼迫勒索攻击受害者支付赎金。

根据对这个文件的分析,我们发现其中包含12856台设备上的498908名用户的VPN凭证

虽然我们还没有测试这些泄露凭证是否有效,但至少可以确定被抽样的所有IP地址均来自Fortinet VPN服务器。

安全厂商Advanced Intel的进一步分析表明,这些IP地址来自全球各地的多台设备,其中有2959台位于美国

泄露的Fortinet服务器的地理分布情况,中国台湾和大陆的占比较高

Kremez在采访中表示,这些凭证的外泄源自Fortinet曝出的CVE-2018-13379漏洞。

一位网络安全行业的消息人士告诉我们,他们已经完成了合法验证,可以证明其中至少一部分泄露的凭证真实有效

目前还不清楚攻击者为什么要公开凭证、而不是自行使用,但据信这么做是为了宣传RAMP黑客论坛,并帮助Groove勒索软件即服务打开市场

Advanced Intel CTO Vitali Kremez在采访中表示,“我们有一定的信心认为,这一波信息VPN SSL泄露很可能是为了宣传新的RAMP勒索软件论坛,这份清单就是给那些想搞勒索软件攻击的潜在用户们的「免费赠品」。”

Groove是一股相对较新的勒索软件势力,此次泄露的数据中出现了他们的一位受害者。但通过向网络犯罪社区提供免费赠品,他们可能希望能将其他攻击者招募到自己的附属体系当中。

Fortinet VPN服务器管理员该如何应对?

虽然无法合法验证凭证清单,但作为Fortinet VPN服务器管理员,大家应当假设此次泄露的凭证真实有效并及时采取预防措施。

具体预防措施包括强制重置所有用户密码以确保安全,并检查日志以验证是否已经遭到入侵。

若有任何可疑之处,请保证安装最新补丁进一步彻底调查,同时立即对用户密码进行重置。

参考来源:https://www.bleepingcomputer.com/news/security/hackers-leak-passwords-for-500-000-fortinet-vpn-accounts/

声明:本文来自互联网安全内参,版权归作者所有。


知识来源: https://www.secrss.com/articles/34202

阅读:16096 | 评论:0 | 标签:泄露 中国 VPN

想收藏或者和大家分享这篇好文章→复制链接地址

“上万台Fortinet VPN设备登录凭证泄露:超一成位于中国”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云