VPN漏洞导致两家工厂遭遇勒索软件攻击

本周三，卡巴斯基实验室的一名研究人员透露，一种相对较新的勒索软件变体，攻击了一家欧洲制造商，导致其两个工厂停工，该勒索软件变体对服务器进行加密以控制该制造商的工业流程。

攻击者利用了一个披露已久的VPN漏洞。勒索软件Cring在1月份的博客文章中引起了公众的关注。它通过利用Fortinet出售的VPN中长期存在的一个目录遍历漏洞（CVE-2018-13379）来控制网络。该漏洞允许未经身份验证的攻击者获取包含VPN用户名和纯文本密码的会话文件。

事实上，早在2019年，安全研究人员就观察到黑客开始积极尝试利用FortiGate VPN漏洞。当时大约有48万个受该漏洞影响的设备连接到互联网。上周，美国联邦调查局和网络安全与基础设施安全机构表示，CVE-2018-13379是可被主动利用实施未来攻击的几个FortiGate VPN漏洞之一。

Fortinet在去年11月表示，已检测到仍未修复CVE-2018-13379漏洞的大量VPN设备。该通报还说，公司官员知晓有报道称这些系统的IP地址正在地下犯罪论坛上出售，同时不法分子还在互联网上主动扫描搜寻未打补丁的系统。

除了未能安装更新之外，这家遭遇勒索软件攻击的德国制造商还忽略了安装防病毒更新，以及未能将访问敏感系统的权限限制为特定雇员。

这不是大型制造企业的生产第一次被恶意软件破坏。在遭受WannaCry勒索软件和未知恶意软件感染后，本田公司在2019年和去年两次停产。挪威的Norsk Hydro是世界上最大的铝生产商之一，它在2019年受到勒索软件攻击，导致全球网络关闭，工厂停工。

在工业环境中对设备进行修补和重新配置可能会特别昂贵且困难，因为其中许多设备停机损失巨大。而关闭组装线以安装和测试安全更新，或对网络进行安全加固更改也可能会带来损失。当然，让勒索软件来关闭工厂是更可怕的后果。