本周三,卡巴斯基实验室的一名研究人员透露,一种相对较新的勒索软件变体,攻击了一家欧洲制造商,导致其两个工厂停工,该勒索软件变体对服务器进行加密以控制该制造商的工业流程。
攻击者利用了一个披露已久的VPN漏洞。勒索软件Cring在1月份的博客文章中引起了公众的关注。它通过利用Fortinet出售的VPN中长期存在的一个目录遍历漏洞(CVE-2018-13379)来控制网络。该漏洞允许未经身份验证的攻击者获取包含VPN用户名和纯文本密码的会话文件。
事实上,早在2019年,安全研究人员就观察到黑客开始积极尝试利用FortiGate VPN漏洞。当时大约有48万个受该漏洞影响的设备连接到互联网。上周,美国联邦调查局和网络安全与基础设施安全机构表示,CVE-2018-13379是可被主动利用实施未来攻击的几个FortiGate VPN漏洞之一。
Fortinet在去年11月表示,已检测到仍未修复CVE-2018-13379漏洞的大量VPN设备。该通报还说,公司官员知晓有报道称这些系统的IP地址正在地下犯罪论坛上出售,同时不法分子还在互联网上主动扫描搜寻未打补丁的系统。
除了未能安装更新之外,这家遭遇勒索软件攻击的德国制造商还忽略了安装防病毒更新,以及未能将访问敏感系统的权限限制为特定雇员。
这不是大型制造企业的生产第一次被恶意软件破坏。在遭受WannaCry勒索软件和未知恶意软件感染后,本田公司在2019年和去年两次停产。挪威的Norsk Hydro是世界上最大的铝生产商之一,它在2019年受到勒索软件攻击,导致全球网络关闭,工厂停工。
在工业环境中对设备进行修补和重新配置可能会特别昂贵且困难,因为其中许多设备停机损失巨大。而关闭组装线以安装和测试安全更新,或对网络进行安全加固更改也可能会带来损失。当然,让勒索软件来关闭工厂是更可怕的后果。