黑客利用 Fortinet VPN 漏洞部署新型 Cring 勒索软件

攻击者正在积极利用Fortinet VPN中的 CVE-2018-13379 漏洞，将Cring勒索软件部署到工业领域的组织中。

威胁行动者正在积极利用Fortinet VPN中的CVE-2018-13379漏洞向工业部门组织新的勒索软件，称为Cring勒索软件（也称为Crypt3r，Vjiszy1lo，Ghost，Phantom）。

CVE-2018-13379是FortiOS SSL VPN web门户中的一个路径遍历漏洞，未经身份验证的攻击者可能会利用该漏洞通过特别定制的HTTP资源请求下载FortiOS系统文件。

该CRING勒索出现在威胁环境在一月份，它是第一个报道由Amigo_A和瑞士电信的CSIRT团队。该勒索软件使用AES-256 + RSA-8192加密来自受害者的数据，然后要求大约2比特币赎金来取回文件。

“由卡巴斯基ICS CERT专家对其中一家受攻击的企业进行的事件调查显示，对Cring勒索软件的攻击利用了Fortigate VPN服务器中的漏洞。” 阅读卡巴斯基发表的文章。

“这些攻击的受害者包括欧洲国家的工业企业。至少在一种情况下，由于用于控制工业过程的服务器被加密，勒索软件的攻击导致了工业过程的临时关闭。”

一旦获得对目标网络中系统的访问权限，攻击者便下载了Mimikatz实用程序，以窃取登录到受感染系统的Windows用户的凭据。

威胁域管理员帐户后，威胁参与者可以将恶意软件分发到同一网络上的其他系统。攻击者还使用了Cobalt Strike开发后框架来部署勒索软件。

在一种情况下，用于控制工业过程的服务器的勒索软件感染导致了该过程的临时关闭。

“此事件的主要原因包括在Fortigate VPN服务器上使用了过时且易受攻击的固件版本（在攻击时使用了6.0.2版），这使攻击者能够利用CVE-2018-13379漏洞并获得对企业网络的访问权限。” 卡巴斯基继续。

“针对受攻击系统使用的安全解决方案缺乏及时的防病毒数据库更新，这也起到了关键作用，阻止了解决方案检测和阻止威胁。还应注意，已禁用了防病毒解决方案的某些组件，从而进一步降低了保护质量。* *导致事件发展的其他因素包括在域策略中配置的用户帐户特权设置以及RDP访问的参数。”

卡巴斯基在报告中还分享了危害指标（IOC）。

4月初，联邦调查局（FBI）和网络安全与基础设施安全局（CISA）发布了联合警报，以警告APT团体针对使用多种漏洞的Fortinet FortiOS服务器进行的攻击。

威胁参与者正在积极利用Fortinet FortiOS中的以下漏洞：

• CVE-2018-13379 ;
• CVE-2020-12812 ;
• CVE-2019-5591 ;