FortiBleed 凭证曝光后,CISA 敦促 Fortinet 客户强化设备安全

在发生名为 FortiBleed 的大型凭证泄露活动的报道后,CISA 敦促使用 Fortinet 设备的组织强化其系统。该机构表示,该活动涉及与大约 74,000 台 Fortinet 设备相关的泄露凭证。飞塔安全警报.

该警告主要针对暴露于公共互联网的 FortiGate 防火墙和 SSL VPN 网关。如果攻击者拥有有效的凭据,他们就可以绕过许多传统的边界控制,而无需利用新的软件错误。

该活动凸显了边缘安全的一个主要弱点:在设备收到补丁后很长一段时间内,被盗的密码仍然很危险。 CISA 要求组织重置凭证、终止活动会话、审查日志并限制对 Fortinet 管理界面的访问。

安全研究人员将 FortiBleed 描述为影响面向互联网的 Fortinet 基础设施的大规模凭证泄露活动。SOC雷达表示其更新的数据集包括 194 个国家/地区的 86,644 份已确认的工作凭证,尽管随着研究人员继续跟踪该活动,数量已经发生变化。

北极狼报道称,攻击者从面向互联网的 FortiGate 设备中提取了配置文件,并破解了存储的凭据哈希,从而获得了数万台设备的经过验证的管理员凭据。

该活动似乎并不依赖于新披露的 Fortinet CVE。相反,研究人员描述了一种以凭证为中心的活动,该活动结合了暴露的设备、较旧的泄露凭证、配置访问以及弱或过时的密码存储。

物品细节
活动名称福特布莱德
受影响的产品Fortinet FortiGate 防火墙和 SSL VPN 网关
CISA 报告的暴露大约 74,000 台 Fortinet 设备
SORadar 更新计数194 个国家/地区的 86,644 份已确认的工作证书
主要风险使用有效凭据进行未经授权的访问
主要防御动作重置凭据、强制执行 MFA、限制管理访问和查看日志

为什么泄露的 Fortinet 凭证很危险

FortiGate 设备通常位于企业网络的边缘。它们处理 VPN 访问、防火墙规则、管理访问以及受信任和不受信任环境之间的路由。

如果攻击者获得有效的管理员或 VPN 凭据,他们一开始可能不需要恶意软件。他们可以像普通用户一样登录、检查配置数据、创建持久性、横向移动或准备后续攻击。

这使得 FortiBleed 对于那些将管理界面暴露在互联网上或依赖密码而没有防网络钓鱼多因素身份验证的组织来说尤其严重。

密码散列是 FortiBleed 问题的一部分

Fortinet 在 FortiOS 7.2.11、7.4.8 和 7.6.1 中引入了基于 PBKDF2 的管理员密码哈希。一个Fortinet 技术说明说旧版本使用 SHA256 来存储管理员密码。

升级过程很重要。 Fortinet 表示,旧固件中的管理员密码仍以 SHA256 哈希值形式存储,直到每个匹配的管理员在升级后成功登录。

这意味着组织可能运行较新的 FortiOS 版本,但配置中仍存储一些较旧的 SHA256 密码哈希值。管理员需要验证每个管理员帐户是否已移至 PBKDF2。

  • FortiOS 7.2.11、7.4.8 和 7.6.1 引入了 PBKDF2 作为管理员密码。
  • 较旧的管理员密码哈希可能会保留到升级后管理员登录为止。
  • 管理员可以手动更新剩余帐户以强制执行 PBKDF2 存储。
  • 当弱或较旧的哈希值仍然存在时,暴露的配置数据可能会变得更加危险。
  • 即使在固件更新后,凭证轮换仍然是必要的。

CISA 表示各组织应立即采取行动

CISA咨询建议使用受影响的 Fortinet 设备的组织立即采取防御措施。该机构特别呼吁终止活动 VPN 会话、重置凭据、启用 MFA 以及检查日志是否存在可疑活动。

管理员还应该删除未经授权或不必要的帐户。如果攻击者创建了后门管理员帐户,仅重置密码并不会删除他们的访问权限。

日志审查应包括 FortiGate 管理员活动、SSL VPN 访问记录、防火墙事件、域控制器日志以及来自身份提供商的身份验证事件。来自异常国家/地区的可疑登录、新帐户、意外的配置更改以及重复的登录失败都值得优先审查。

管理界面不应面向互联网

飞塔的系统管理员最佳实践建议安全的管理员访问、受信任的主机、有限的访问方法和强大的帐户控制。这些控制措施降低了被盗凭据导致整个设备泄露的可能性。

组织应将 Fortinet 管理限制在受信任的内部网络、受 VPN 保护的管理网络或专用跳转主机上。公开的管理面板为攻击者提供了直接测试被盗密码的地方。

安全团队还应检查外部扫描是否可以到达管理端口。减少暴露通常可以在凭证攻击到达登录屏幕之前防止它们。

行动为什么这很重要
重置 Fortinet 管理员和 VPN 密码阻止攻击者重复使用泄露或破解的凭据
终止活动的 SSL VPN 和管理会话删除可能已通过身份验证的会话
启用防网络钓鱼 MFA减少暴露密码的价值
限制管理界面防止针对管理门户进行互联网范围的凭据测试
查看日志和配置更改发现未经授权的访问、持久性或横向移动的迹象
验证 PBKDF2 密码存储确保管理员哈希使用 Fortinet 更新的密码保护

SORadar 和 Arctic Wolf 描述了一项积极的活动

SORadar 的 FortiBleed 报告表示攻击者从面向互联网的 Fortinet 设备构建了一个经过验证的工作凭据数据库。它还表示,攻击者使用自动化技术来扫描、验证凭据,并按国家和其他属性组织受害者数据。

北极狼的分析警告说,即使在升级固件后,许多组织在 FortiGate 配置文件中可能仍然有较旧的管理员密码哈希值,除非每个管理员在升级后登录或更改了密码。

这一点对于事件响应很重要。设备可能看起来已修补,但仍需要凭据清理、帐户审查和配置验证。

管理员如何验证更强的密码存储

Fortinet PBKDF2 指南说 PBKDF2 哈希管理员密码显示 PB2 前缀,而较旧的 SHA256 哈希显示 SH2 前缀。管理员应检查本地管理员帐户并更新仍使用旧格式的任何帐户。

飞塔的管理员强化指导还支持更广泛的清理:限制受信任的主机、使用安全协议、减少不必要的访问方法以及遵循管理帐户的最小权限原则。

对于大型环境,这些检查应该在每个 Fortinet 设备上进行,而不仅仅是最明显的 VPN 网关。攻击者经常瞄准被忽视的边缘设备,因为它们落后于中央修补和监控流程。

  1. 识别暴露在互联网上的每台 Fortinet 设备。
  2. 终止活动的 SSL VPN 和管理员会话。
  3. 重置所有本地管理员、VPN、LDAP 和相关服务凭据。
  4. 对所有远程访问和管理登录启用 MFA。
  5. 检查管理员密码哈希并在支持的情况下强制执行 PBKDF2。
  6. 删除未使用、未知或未经授权的帐户。
  7. 限制对受信任主机或内部管理网络的管理访问。
  8. 查看日志以了解异常登录、新用户和配置更改。
  9. 将 FortiOS 和相关 Fortinet 产品修补到支持的固定版本。
  10. 监控 VPN 连接系统的横向移动。

FortiBleed 提醒人们凭证存在周边风险

FortiBleed 表明网络边缘设备仍然是攻击者的高价值目标。当凭证泄露、密码散列仍然脆弱或管理界面暴露时,防火墙或 VPN 网关可能成为入口点。

组织不应将 Fortinet 强化视为一次性密码重置。它们应该结合凭证轮换、MFA、配置审查、修补、日志分析和减少外部攻击面。

最紧迫的步骤是假设暴露的凭据仍然有效,直到证明并非如此。对于 Fortinet 客户来说,这意味着轮换密码、关闭不必要的公共访问,并在攻击者再次使用相同的凭据之前验证每个管理员帐户。

FAQ

什么是 FortiBleed?

FortiBleed 是涉及 Fortinet FortiGate 防火墙和 SSL VPN 网关的大型凭证暴露活动的名称。研究人员表示,攻击者收集或验证了数以万计面向互联网的 Fortinet 设备的凭据。

FortiBleed 是否利用了新的 Fortinet 漏洞?

CISA 并未将 FortiBleed 活动与某一特定的新 CVE 联系起来。主要风险涉及凭证泄露或破解、Fortinet 设备暴露以及凭证存储薄弱或过时。

有多少 Fortinet 设备受到 FortiBleed 的影响?

CISA 列举了大约 74,000 台与泄露凭证相关的 Fortinet 设备。 SORadar 随后在继续跟踪该活动的过程中列出了 194 个国家/地区的 86,644 份已确认的工作凭证。

Fortinet 管理员首先应该做什么?

管理员应终止活动 VPN 和管理会话、重置 Fortinet 凭据、启用 MFA、限制管理访问、查看日志、删除未经授权的帐户,并验证管理员密码是否在支持的情况下使用 PBKDF2。

为什么 PBKDF2 对于 Fortinet 设备很重要?

与早期 FortiOS 版本中使用的基于 SHA256 的旧存储相比,PBKDF2 提供更强大的密码哈希保护。 Fortinet 表示,升级后管理员可能需要登录或手动更改密码,才能将旧哈希值转换为 PBKDF2。