详细内容或原文请订阅后点击阅览
74,000 台设备仅仅是一个开始。 FortiBleed 如何收集密码、积累访问权限并在论坛上出售密码
One Go 脚本拦截了通过网络传递的所有内容。
来源:安全实验室新闻频道74,000 台设备仅仅是一个开始。 FortiBleed 如何收集密码、积累访问权限并在论坛上出售密码
One Go 脚本拦截了通过网络传递的所有内容。
FortiBleed 最初是一次大规模的密码猜测活动,但后来演变成一系列攻击,捕获的防火墙会收集新的凭据以用于后续的违规行为。新的年表显示,公布的 FortiGate 密码数据库只是该行动的一部分。
二月份,攻击者开始大规模扫描互联网,并试图找到 RDWeb、Sophos 和 Citrix SSL VPN、开放 RDP 服务和 Microsoft SQL Server 数据库的密码。后来,运营商改用FortiGate。第一次泄露包含来自近 74,000 个 Fortinet 设备的数据,但凭据收集的规模要广泛得多。
Fortinet 并未将该活动与新漏洞联系起来。该制造商认为,攻击者正在重复使用以前事件中的数据,并在没有双因素保护的设备上猜测弱密码。有关使用旧的、未修补的漏洞绕过身份验证的信息需要额外确认:Fortinet 在当前通知中没有指定具体的 CVE。
拥有管理员权限,操作员通过 SSH 连接到 FortiGate 并启动用 Go 编写的 FortigateSniffer。该工具使用内置的 FortiOS 诊断嗅探器数据包命令,管理员使用该命令来查找网络和身份验证问题。被捕获的防火墙开始拦截通过它的流量。
你的秘密在暗网上受到喜欢。
自5月份以来,FortigateSniffer已监控来自24种协议的数据,包括Kerberos、LDAP、SMB、RADIUS、RDP、WinRM、Microsoft SQL Server、MySQL、PostgreSQL、SMTP、IMAP、POP3、FTP和Telnet。该脚本查找密码、哈希值、Kerberos 票证、NTLM 数据、令牌和其他登录机密。报告中详细描述了仪器的操作。