近5万个存在漏洞的Fortinet SSL VPN存取位址在骇客论坛流传

随着远距办公越来越普遍，VPN系统的安全性也变得更加受到关注。然而，对于已被揭露的重大VPN漏洞，仍然有不少企业尚未修补，而让骇客有机可趁。根据资安新闻网站Bleeping Computer于11月22日的报导，威胁情报业者Bank Security于19日，在骇客论坛上看到有人分享了近5万个Fortinet SSL VPN IP地址，并宣称这些系统都存在CVE-2018-13379漏洞。

CVE-2018-13379是未经验证的任意读档漏洞（Arbitrary File Reading），骇客可以借此解读系统档案，进而发现储存的明文密码，就能登入系统且存取企业内部网络环境。这个漏洞存在于执行FortiOS 6.0.4、5.6.7、5.4.12等旧版操作系统的Fortinet设备，该公司于去年5月下旬首度修补。而相关的漏洞细节，台湾戴夫寇尔（Devcore）研究员Orange Tsai与Meh Chang，于去年8月举行的黑帽大会（Black Hat 2019）进行揭露。

然而，就在CVE-2018-13379的细节被揭露超过1年后，今年的11月19日，威胁情报分析员Bank Security在推特上指出，有ID名为Pumpedkicks的骇客，整理出有49,577个未修补此漏洞的Fortinet SSL VPN系统名单，分享给其他骇客。Bank Security也张贴2张截图，来显示这份名单的部分内容。

The Threat Actor "pumpedkicks" shared a list of 49,577 IPs vulnerable to Fortinet SSL VPN CVE-2018-13379.

The Actor also claims to have the clear text credentials associated with these IPs. pic.twitter.com/usIyKi3Tl0

— Bank Security (@Bank_Security) November 19, 2020

Bleeping Computer联系上了Bank Security，并取得这份IP地址名单进行分析，他们发现当中存在许多知名的银行、金融机构，以及-单位。

而这名分析员分析了这些IP地址后，他再度于21日在推特上转推上述推文，内文指出这些IP地址的所有者，包含了一些银行、许多-单位的网域，以及全球数以千计的企业，这样的说法与Bleeping Computer大致相符。

After a nslookup on all IPs, I found that among the victims there are some Banks, many .gov domains and thousands of companies around the world. https://t.co/F4o9xzjGJ4

— Bank Security (@Bank_Security) November 20, 2020

由于近期已有攻击事件滥用这个漏洞，例如，上个月骇客攻击美国-的选务支援系统，CVE-2018-13379就是其中遭到滥用来进入公部门内部网络的漏洞之一。采用Fortinet SSL VPN的企业应尽速修补这项漏洞。至于是否有台湾的-机关或企业出现在这份名单中，仍有待进一步厘清。