5月27日美國聯邦調查局(FBI)繼續警告進階持續性威脅(APT)的駭客組織積極地鎖定Fortinet VPN漏洞發起攻擊。FBI最新版本的警告,在2021年5月檢測到APT駭客入侵了美國某當地政府的網路,駭客組織利用了一個Fortigate設備來存取託管在美國市政府網域的網路伺服器, FBI又指出,發起攻擊的APT駭客通過建立了名為 elie 和 WADGUtilityAccount的後門帳戶對網路進行了惡意攻擊包含收集和竊取數據,後門帳戶用於從受感染的Fortinet VPN設備進一步轉到受害人的內部網路。當駭客獲得受害者內部網路的存取權限,他們會建立更多的後門帳戶,以便之後在其他系統如網域控制器,伺服器,工作站和AD獲得存取權限。
此次攻擊的駭客正是開採FBI和CISA在4月曾示警的Fortinet軟體漏洞來發起攻擊,使用了以下三個已知漏洞:
CVE-2018-1337(允許駭客解讀系統檔案,進而發現儲存的明文密碼,再登入系統)
CVE-2020-12812 (讓駭客在子網域下設立假LDAP伺服器來攔截重要資訊)
CVE-2019-5591 (讓駭客繞過多因素驗證和主系統建立SSL VPN連線)
FBI再次敦促組織修補他們的Fortinet設備,希望通過這次受害實體的事件,組織能比以往更加認真地看待他們發出的警告。