Fortinet发现威胁攻击者使用了一种复杂的后利用技术,即使在初始漏洞修复后仍能维持对FortiGate设备的未授权访问。
根据Fortinet最新调查报告,攻击者利用了三个已知漏洞(FG-IR-22-398、FG-IR-23-097和FG-IR-24-015)入侵FortiGate设备。这些漏洞对应的CVE编号分别为:
- CVE-2022-42475:与FG-IR-22-398关联
- CVE-2023-27997:与FG-IR-23-097关联
- CVE-2024-21762:可能与FG-IR-24-015相关但尚未确认
攻击技术分析
攻击者采用了一种新颖手法:在SSL-VPN语言文件目录中创建用户文件系统与根文件系统之间的符号链接。这使得攻击者能够以只读方式访问设备配置文件等关键文件,同时规避检测。
更令人担忧的是,这种符号链接在设备更新修复原始漏洞后仍可能持续存在。Fortinet通过内部遥测和第三方合作确认,该攻击活动不受地域或行业限制。但从未启用SSL-VPN功能的客户不受此问题影响。
应急响应措施
Fortinet在发现该技术后立即启动产品安全事件响应团队(PSIRT),采取了以下缓解措施:
- 发布AV/IPS特征库以检测和清除恶意符号链接
- 修改FortiOS 7.6.2、7.4.7、7.2.11、7.0.17和6.4.16版本,消除符号链接并加固SSL-VPN功能
- 直接通知受影响客户,敦促其升级至最新版本、检查配置,并将现有设置视为可能已遭入侵
Fortinet安全发言人Carl Windsor表示:"此事件反映了威胁攻击者不断演变的战术,凸显了严格网络安全卫生的重要性。我们致力于通过主动解决方案和透明沟通帮助客户应对威胁。"
安全加固建议
根据Fortinet 2023年下半年全球威胁态势报告,攻击者平均在漏洞公开后4.76天内就会加以利用。为此,Fortinet建议所有客户:
- 立即升级至已修复版本
- 执行社区资源中列出的恢复步骤
- 启用最新安全功能,包括编译时加固、虚拟补丁、固件完整性验证等
美国网络安全和基础设施安全局(CISA)在4月11日的公告中进一步建议管理员:
- 升级至指定FortiOS版本以清除恶意文件
- 检查设备配置并重置可能暴露的凭证
- 在应用补丁前可临时禁用SSL-VPN功能
安全公司WatchTowr创始人报告称,在其客户群(包括关键基础设施组织)中已发现与Fortinet漏洞相关的后门部署。他呼吁业界重视Fortinet的警报,并反思当前对关键系统高危漏洞的响应流程。
据美国国家标准与技术研究院(NIST)数据,2024年已记录超过4万个漏洞。Fortinet强调,保持警惕并及时更新是应对当前网络威胁的最佳防御。
