【時間不等人】企業不更新VPN漏洞兩年終被勒索軟件Cring攻陷
歐洲兩間生產設備公司被勒索軟件 Cring 入侵,導致生產線被迫停止運作,雖然今次利用了新的攻擊技術,不過入侵之門卻是一個已被修復兩年的 VPN 漏洞,怪得邊個呢?
涉事 FortiGate VPN 漏洞早於 2018 年已被發現,而研究員在 2019 年發出警告,該漏洞似乎正被黑客利用,呼籲用戶立即更新 Fortinet 提供的修復檔,據知當時亦有大量用戶未曾更新系統。該漏洞 (CVE-2018-13379) 可讓黑客從系統中取出儲存了帳戶登入名稱及明文 (plaintext) 密碼的檔案,用於日後再次入侵。
來到今年一月,便有網絡安全研究員發現,一款新的勒索軟件 Cring 便專門針對這項漏洞進行攻擊,黑客會利用特製工具 Mimikatz 攻擊仍未更新系統的 FortiGate VPN,從中取得登入權限,再於系統中使用滲透工具 Cobalt Strike 安裝勒索軟件。為了減少被攔截的風險,惡意軟件安裝檔會偽裝成由防毒軟件公司 Kaspersky Lab 或其他網絡安全公司所發出。當 Cring 啟動後,就會加密內部網絡上存在的檔案及留下聯絡方法,方便受害者商討贖金。
不過從歐洲兩間設備生產公司遭受 Cring 攻擊的事件中可見,黑客集團已改變了攻擊方式。Kaspersky Lab 研究員指出,黑客在執行 Cring 前會預先對內部網絡進行詳細分析,當確定哪一個伺服器停止運作時所帶來的損失最鉅大,便會率先向該伺服器發動攻擊,以減少 Cring 執行中途被截停的機會。不過,由於在今次事件中兩間公司都有做好數據備份,損失不算慘重,而且兩日後已可回復正常營運,因此便沒有交付贖金。所以話,定期執行數據備份的確非常重要。
