美、英、澳共同发声：伊朗骇客正在开采微软Exchange及Fortinet漏洞

美国的联邦调查局（FBI）、网络安全及基础设施安全局（CISA）、澳洲的网络安全中心（ACSC），以及英国的国家网络安全中心（NCSC）在本周发表了共同声明，揭露由伊朗-所支持的骇客团队正在开采Microsoft Exchange Server与Fortinet的安全漏洞，提醒各界应小心防范。

此一国家级骇客集团所瞄准的4个安全漏洞分别是存在于Microsoft Exchange Server上的CVE-2021-34473，以及藏匿在Fortinet装置上的CVE-2018-13379、CVE-2020-12812与CVE-2019-5591。

图片来源_CISA

其中，CVE-2021-34473为微软在今年7月修补的安全漏洞，这是一个远端程式攻击漏洞，在修补的当时已曝光，但尚未发现攻击行动。至于Fortinet则早在2019年及2020年，修补了其装置固件FortiOS上的相关漏洞。

调查显示，今年3月FBI与CISA就观察到该骇客团队，正在扫描3个Fortinet装置的漏洞；5月时成功入侵了代管美国市-网域之服务器的Fortinet防火墙设备FortiGates，还在该服务器上建立自己的使用者账号；今年6月时再度借由开采FortiGates，入侵了一家专门从事儿童医疗保健的美国医院；而到了今年的10月，同一骇客团队即开采微软刚修补的CVE-2021-34473，以作为进入受害系统的跳板。

不只是美国的组织受骇，ACSC发现同一骇客团队也试图于澳洲开采CVE-2021-34473漏洞。

值得注意的是，FBI、CISA、ACSC与NCSC认为，此一骇客团队并没有特定的攻击目标，而是专门开采已知的安全漏洞，接下来的恶意行为包括窃取资料、加密资料，以及植入勒索软件。

此外，骇客渗透到受害系统之后，通常会建立自己的账号，而且会依照该系统既有的账号命名，以掩人耳目，作为日后存取之用。

上述的网络安全机构建议使用Exchange Server与Fortinet产品的组织，应该要检查其内部网络的可疑行动，包括搜寻危害指标，调查有否曝露的Exchange Server，检查RDP、防火墙及Windows远端管理等配置，是否允许骇客长期存取，也应检查陌生的用户名称，或是确保防毒软件是否正常运作等。