Fortinet發(fā)現(xiàn)威脅攻擊者使用了一種復(fù)雜的后利用技術(shù)，即使在初始漏洞修復(fù)后仍能維持對(duì)FortiGate設(shè)備的未授權(quán)訪問。

根據(jù)Fortinet最新調(diào)查報(bào)告，攻擊者利用了三個(gè)已知漏洞（FG-IR-22-398、FG-IR-23-097和FG-IR-24-015）入侵FortiGate設(shè)備。這些漏洞對(duì)應(yīng)的CVE編號(hào)分別為：

• CVE-2022-42475：與FG-IR-22-398關(guān)聯(lián)
• CVE-2023-27997：與FG-IR-23-097關(guān)聯(lián)
• CVE-2024-21762：可能與FG-IR-24-015相關(guān)但尚未確認(rèn)

攻擊技術(shù)分析

攻擊者采用了一種新穎手法：在SSL-VPN語言文件目錄中創(chuàng)建用戶文件系統(tǒng)與根文件系統(tǒng)之間的符號(hào)鏈接。這使得攻擊者能夠以只讀方式訪問設(shè)備配置文件等關(guān)鍵文件，同時(shí)規(guī)避檢測(cè)。

更令人擔(dān)憂的是，這種符號(hào)鏈接在設(shè)備更新修復(fù)原始漏洞后仍可能持續(xù)存在。Fortinet通過內(nèi)部遙測(cè)和第三方合作確認(rèn)，該攻擊活動(dòng)不受地域或行業(yè)限制。但從未啟用SSL-VPN功能的客戶不受此問題影響。

應(yīng)急響應(yīng)措施

Fortinet在發(fā)現(xiàn)該技術(shù)后立即啟動(dòng)產(chǎn)品安全事件響應(yīng)團(tuán)隊(duì)(PSIRT)，采取了以下緩解措施：

• 發(fā)布AV/IPS特征庫(kù)以檢測(cè)和清除惡意符號(hào)鏈接
• 修改FortiOS 7.6.2、7.4.7、7.2.11、7.0.17和6.4.16版本，消除符號(hào)鏈接并加固SSL-VPN功能
• 直接通知受影響客戶，敦促其升級(jí)至最新版本、檢查配置，并將現(xiàn)有設(shè)置視為可能已遭入侵

Fortinet安全發(fā)言人Carl Windsor表示："此事件反映了威脅攻擊者不斷演變的戰(zhàn)術(shù)，凸顯了嚴(yán)格網(wǎng)絡(luò)安全衛(wèi)生的重要性。我們致力于通過主動(dòng)解決方案和透明溝通幫助客戶應(yīng)對(duì)威脅。"

安全加固建議

根據(jù)Fortinet 2023年下半年全球威脅態(tài)勢(shì)報(bào)告，攻擊者平均在漏洞公開后4.76天內(nèi)就會(huì)加以利用。為此，F(xiàn)ortinet建議所有客戶：

• 立即升級(jí)至已修復(fù)版本
• 執(zhí)行社區(qū)資源中列出的恢復(fù)步驟
• 啟用最新安全功能，包括編譯時(shí)加固、虛擬補(bǔ)丁、固件完整性驗(yàn)證等

美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)在4月11日的公告中進(jìn)一步建議管理員：

• 升級(jí)至指定FortiOS版本以清除惡意文件
• 檢查設(shè)備配置并重置可能暴露的憑證
• 在應(yīng)用補(bǔ)丁前可臨時(shí)禁用SSL-VPN功能

安全公司W(wǎng)atchTowr創(chuàng)始人報(bào)告稱，在其客戶群（包括關(guān)鍵基礎(chǔ)設(shè)施組織）中已發(fā)現(xiàn)與Fortinet漏洞相關(guān)的后門部署。他呼吁業(yè)界重視Fortinet的警報(bào)，并反思當(dāng)前對(duì)關(guān)鍵系統(tǒng)高危漏洞的響應(yīng)流程。

據(jù)美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)數(shù)據(jù)，2024年已記錄超過4萬個(gè)漏洞。Fortinet強(qiáng)調(diào)，保持警惕并及時(shí)更新是應(yīng)對(duì)當(dāng)前網(wǎng)絡(luò)威脅的最佳防御。