Fortinet發(fā)現(xiàn)威脅攻擊者使用了一種復雜的后利用技術(shù)，即使在初始漏洞修復后仍能維持對FortiGate設備的未授權(quán)訪問。

根據(jù)Fortinet最新調(diào)查報告，攻擊者利用了三個已知漏洞（FG-IR-22-398、FG-IR-23-097和FG-IR-24-015）入侵FortiGate設備。這些漏洞對應的CVE編號分別為：

• CVE-2022-42475：與FG-IR-22-398關聯(lián)
• CVE-2023-27997：與FG-IR-23-097關聯(lián)
• CVE-2024-21762：可能與FG-IR-24-015相關但尚未確認

攻擊技術(shù)分析

攻擊者采用了一種新穎手法：在SSL-VPN語言文件目錄中創(chuàng)建用戶文件系統(tǒng)與根文件系統(tǒng)之間的符號鏈接。這使得攻擊者能夠以只讀方式訪問設備配置文件等關鍵文件，同時規(guī)避檢測。

更令人擔憂的是，這種符號鏈接在設備更新修復原始漏洞后仍可能持續(xù)存在。Fortinet通過內(nèi)部遙測和第三方合作確認，該攻擊活動不受地域或行業(yè)限制。但從未啟用SSL-VPN功能的客戶不受此問題影響。

應急響應措施

Fortinet在發(fā)現(xiàn)該技術(shù)后立即啟動產(chǎn)品安全事件響應團隊(PSIRT)，采取了以下緩解措施：

• 發(fā)布AV/IPS特征庫以檢測和清除惡意符號鏈接
• 修改FortiOS 7.6.2、7.4.7、7.2.11、7.0.17和6.4.16版本，消除符號鏈接并加固SSL-VPN功能
• 直接通知受影響客戶，敦促其升級至最新版本、檢查配置，并將現(xiàn)有設置視為可能已遭入侵

Fortinet安全發(fā)言人Carl Windsor表示："此事件反映了威脅攻擊者不斷演變的戰(zhàn)術(shù)，凸顯了嚴格網(wǎng)絡安全衛(wèi)生的重要性。我們致力于通過主動解決方案和透明溝通幫助客戶應對威脅。"

安全加固建議

根據(jù)Fortinet 2023年下半年全球威脅態(tài)勢報告，攻擊者平均在漏洞公開后4.76天內(nèi)就會加以利用。為此，F(xiàn)ortinet建議所有客戶：

• 立即升級至已修復版本
• 執(zhí)行社區(qū)資源中列出的恢復步驟
• 啟用最新安全功能，包括編譯時加固、虛擬補丁、固件完整性驗證等

美國網(wǎng)絡安全和基礎設施安全局(CISA)在4月11日的公告中進一步建議管理員：

• 升級至指定FortiOS版本以清除惡意文件
• 檢查設備配置并重置可能暴露的憑證
• 在應用補丁前可臨時禁用SSL-VPN功能

安全公司W(wǎng)atchTowr創(chuàng)始人報告稱，在其客戶群（包括關鍵基礎設施組織）中已發(fā)現(xiàn)與Fortinet漏洞相關的后門部署。他呼吁業(yè)界重視Fortinet的警報，并反思當前對關鍵系統(tǒng)高危漏洞的響應流程。

據(jù)美國國家標準與技術(shù)研究院(NIST)數(shù)據(jù)，2024年已記錄超過4萬個漏洞。Fortinet強調(diào)，保持警惕并及時更新是應對當前網(wǎng)絡威脅的最佳防御。