FortiGate 遭到攻击:攻击者如何利用网络设备劫持服务账户
在企业安全领域,下一代防火墙 (NGFW) 通常被视为终极哨兵——旨在抵御入侵者的数字堡垒墙。然而,一系列复杂的攻击活动正在颠覆这一逻辑。SentinelOne 网络安全研究人员的最新发现表明,威胁攻击者正越来越多地将 FortiGate 设备作为渗透高价值网络的入口点,而非屏障。
通过利用最近披露的漏洞或利用薄弱的管理凭据,攻击者正在获取这些设备的访问权限以提取敏感的配置文件。这些文件远不止是技术蓝图;它们通常包含“王国的钥匙”,包括服务账户凭据和详细的网络拓扑信息。这一趋势已使医疗保健、政府和托管服务提供商 (MSP) 等部门成为协同数字攻击的目标。
作为目标的网关
这场攻击活动的讽刺之处在于 FortiGate 设备本身的性质。由于这些设备位于网络边缘,它们需要大量的权限才能正常运行。为了管理用户身份验证并提供安全访问,它们经常与活动目录 (AD) 和轻量级目录访问协议 (LDAP) 等核心基础设施集成。
根据研究人员 Alex Delamotte、Stephen Bromfield、Mary Braden Murphy 和 Amey Patne 的说法,这种深度集成正是它们成为极具吸引力的目标的原因。当攻击者攻破 FortiGate 设备时,他们不仅仅是在控制防火墙;他们还有可能在组织的整个身份管理系统中获得立足点。如果防火墙拥有具有“读取”AD 树的高权限服务账户,攻击者现在就拥有了同样的权限。
提取数字蓝图
这些近期攻击的主要目标是提取设备配置文件。在许多遗留或加固不当的设置中,这些文件包含服务账户的哈希值甚至弱加密的凭据。一旦攻击者获得配置文件,他们就可以离线破解这些密码,而无需担心触发基于网络的入侵检测系统。
除了凭据之外,配置文件还揭示了内部网络的“地图”。它们详细说明了 VLAN 结构、信任区域和 VPN 配置。对于威胁攻击者来说,这相当于在踏入银行大门之前,就已经掌握了银行金库的蓝图和警卫的巡逻时间表。
为什么医疗保健和 MSP 面临风险
针对医疗保健和政府部门是经过深思熟虑的举动。这些组织通常处理高度敏感的数据,并在严格的运行时间要求下运行,使其容易受到勒索。然而,对托管服务提供商 (MSP) 的关注代表了更广泛的战略威胁。
MSP 通常使用 FortiGate 设备来管理数十个甚至数百个不同客户的网络。通过攻破单个 MSP 的设备,攻击者可能会获得对该提供商管理的所有客户的“下游”访问权限。这种“一对多”的攻击向量允许网络犯罪分子以惊人的效率扩大其操作规模。
漏洞利用剖析
虽然使用的具体漏洞可能有所不同,但方法论保持一致。攻击者通常遵循三个步骤:
- 初始访问: 利用未修复的漏洞(例如在 SSL VPN 组件中发现的漏洞)或对薄弱的管理密码使用暴力破解攻击。
- 数据外泄: 进入管理界面后,攻击者会导出系统配置。这通常使用内置的管理工具完成,以避免引起警觉。
- 凭据收割: 攻击者解析配置以获取服务账户详细信息。然后,这些账户被用于从防火墙横向移动到内部服务器环境。
把它想象成一个主钥匙系统。防火墙是大门,但它持有的服务账户是打开大楼内所有其他门的万能钥匙。一旦攻击者拿到钥匙,大门就不再重要了。
实际防御:加固您的周界
为了应对这种威胁,组织必须摆脱对网络设备“一劳永逸”的心理。安全团队应优先采取以下行动来保护其 FortiGate 环境:
| 行动项 | 描述 | 优先级 |
|---|---|---|
| 立即打补丁 | 应用最新的固件更新,以解决 SSL VPN 和 Web 管理界面中已知的 CVE。 | 危急 |
| 管理多因素认证 (MFA) | 为所有对 FortiGate UI 和 CLI 的管理访问启用多因素认证。 | 高 |
| 服务账户审计 | 对 AD/LDAP 服务账户使用最小权限原则;确保它们不能执行域管理任务。 | 高 |
| 限制管理访问 | 将管理界面的访问限制在特定的、受信任的 IP 地址(Local-In 策略)。 | 中 |
| 配置加密 | 确保配置文件备份使用强且唯一的密码进行加密。 | 中 |
| 禁用未使用的服务 | 如果业务运营不需要,请关闭 SSL VPN 等功能。 | 高 |
迈向零信任架构
这次攻击活动生动地提醒我们,没有任何单一设备是可以被绝对信任的,即使是为安全而设计的设备。向零信任架构 (ZTA) 转型是最有效的长期解决方案。在零信任模型中,内部网络不会仅仅因为用户通过了防火墙就被视为“安全区”。
通过实施微隔离和持续的身份验证,组织可以确保即使服务账户通过防火墙漏洞被攻破,攻击者横向移动的能力也会受到严格限制。目标是让攻击者采取的每一步都尽可能困难且可见。
结论
对 FortiGate 设备的利用是威胁格局中的一次复杂演变。它超越了简单的服务中断,专注于安静、有条不紊地窃取身份资产。对于 IT 专业人士和安全领导者来说,信息很明确:保护您网络的设备现在是主要目标。警惕、快速打补丁和严格的凭据管理方法不再是可选的——它们是现代威胁环境中生存的基准。
来源
- SentinelOne Threat Intelligence Research
- Fortinet Security Advisories and Best Practices
- Cybersecurity & Infrastructure Security Agency (CISA) Alerts on Edge Device Exploitation
- National Institute of Standards and Technology (NIST) Guidelines on Network Gateway Security
