美国、英国和澳大利亚警告伊朗黑客利用微软FordNET漏洞

星期三，来自澳大利亚、英国和美国的网络安全机构发布了一份联合警告，警告伊朗积极支持开发FordNET和微软Exchange Excel外壳漏洞，以获得对后续活动的脆弱系统的初始访问，包括数据过滤和勒索软件

据美国网络安全和基础设施安全局（联邦调查局）（FBI）称，威胁演员被认为利用了多个FordNETFordIOS漏洞，可以追溯到2021年3月，以及至少在2021年10月以来影响微软Exchange服务器的远程代码执行缺陷。澳大利亚网络安全中心（ACSC）和英国国家网络安全中心（NCSC）。这些机构没有将这些活动归因于特定的高级持续性威胁（APT）参与者。目标受害者包括澳大利亚组织和美国多个关键基础设施部门的一系列实体，如交通和医疗。正在利用的缺陷列表如下—

• CVE-2020-12812（CVSS分数：9.8）-FortiOS SSL VPN 2通过更改用户名大小写进行旁路
• CVE-2019-5591（CVSS分数：6.5）-FortiGate默认配置不会验证LDAP服务器身份
• CVE-2018-13379（CVSS分数：9.8）-FortiOS系统文件通过特制的HTTP资源请求通过SSL VPN泄漏
• 此外，CISA和FBI还说，除了利用“主动外壳”漏洞来访问易受攻击的网络之外，他们还观察到对手在2021年5月滥用了FordIGATE设备，为美国市政府托管域名的Web服务器站稳脚跟。下个月，APT演员“利用Fortigate设备访问与美国一家专门从事儿童保健的医院相关的环境控制网络，”该顾问说
• 这是美国政府第二次警告针对Fortinet FortiOS服务器的高级持久性威胁组织，利用CVE-2018-13379、CVE-2020-12812和CVE-2019-5591破坏属于政府和商业实体的系统
• 作为缓解措施，各机构建议各组织立即修补受上述漏洞影响的软件，强制执行数据备份和恢复程序，实施网络分割，使用多因素身份验证保护帐户，并修补操作系统、软件、，以及发布更新时的固件