Fortinet本週向客戶發出緊急警告,指出某些威脅行為者正使用後期利用技術,使他們能夠在原始漏洞已修補後,仍保持對先前入侵FortiGate VPN設備的唯讀存取權。
這些攻擊並非源於新漏洞,而是利用了包括CVE-2022-42475、CVE-2023-27997和CVE-2024-21762等已知安全漏洞。法國電腦緊急應變中心(CERT-FR)透露,相關攻擊活動可追溯至2023年初,規模龐大,已有眾多法國境內設備受害。
攻擊手法分析
Fortinet發布的安全通報指出,威脅行為者利用舊漏洞入侵伺服器後,會在啟用SSL-VPN的設備語言檔案資料夾中建立指向根檔案系統的符號連結(symlink)。
Fortinet表示:「威脅行為者利用已知漏洞實現對脆弱FortiGate設備的唯讀存取。這是透過在SSL-VPN語言檔案資料夾中建立連接用戶檔案系統和根檔案系統的符號連結實現的。這種修改發生在用戶檔案系統中,成功避開了檢測。」
這種技術使攻擊者即使在被發現並驅逐後,仍能透過公開訪問的SSL-VPN網頁面板維持對根檔案系統的唯讀存取。因此,即使客戶更新到修補原始漏洞的FortiOS版本,符號連結可能仍會保留,使攻擊者能夠繼續讀取設備檔案系統中的資料,包括設備配置。
受影響範圍與緩解措施
Fortinet表示,此攻擊活動並非針對特定地區或行業。所有曾啟用SSL-VPN的FortiGate設備可能受到影響,但從未啟用SSL-VPN的客戶則不受此問題影響。
為防止此類問題再次發生,Fortinet已發布一系列FortiOS軟體更新:
- FortiOS 7.4、7.2、7.0和6.4:符號連結被標記為惡意,會被防毒引擎自動刪除
- FortiOS 7.6.2、7.4.7、7.2.11、7.0.17和6.4.16:符號連結已被移除,且SSL-VPN介面已修改,以防止提供此類惡意符號連結
Fortinet強烈建議客戶採取以下措施:
- 立即將FortiOS更新至最新版本(7.6.2、7.4.7、7.2.11、7.0.17或6.4.16)
- 檢查設備配置,查找任何異常變更
- 將所有配置視為潛在受損,執行適當的恢復步驟
- 重設可能暴露的憑證
美國網路安全和基礎設施安全局(CISA)也發布建議,敦促用戶重設暴露的憑證,並考慮在漏洞修補前禁用SSL-VPN功能。CISA還建議網路防禦人員向其24/7運營中心報告任何相關事件和異常活動。
watchTowr執行長Benjamin Harris表示,這一事件令人擔憂的主要原因有二:首先,漏洞利用速度遠超組織修補能力;其次,
攻擊者部署的後門能夠在組織進行修補、升級和恢復出廠設置後依然存活。Harris指出,他們已在客戶群中發現後門部署,並看到許多關鍵基礎設施組織受到影響。
CERT-FR也建議隔離受感染的VPN設備、重置所有機密資訊(如憑證、證書、身份令牌、加密金鑰等),並尋找網路橫向移動的證據。