HackerNews 编译,转载请注明出处:
Fortinet公司揭露了一个令人不安的情况:网络攻击者找到了一种方法,即使在最初用于入侵FortiGate设备的漏洞被修复后,他们仍能保持对该设备的只读访问权限。
据推测,攻击者利用了包括但不限于CVE-2022-42475、CVE-2023-27997和CVE-2024-21762在内的已知且现已修复的安全漏洞来实施攻击。
Fortinet在周四发布的安全公告中表示:“攻击者利用已知漏洞,为易受攻击的FortiGate设备设置了只读访问权限。这是通过在用于提供SSL-VPN语言文件的文件夹中创建一个符号链接,连接用户文件系统和根文件系统来实现的。”
Fortinet指出,这些修改发生在用户文件系统中,并成功躲避了检测,导致即使在修复了最初入侵的安全漏洞后,该符号链接(也称为symlink)仍然存在。
这使得攻击者能够继续访问设备文件系统中的文件,包括配置文件等,但那些从未启用SSL-VPN功能的客户不受此问题影响。
目前尚不清楚是谁在幕后操纵此次攻击活动,但Fortinet的调查显示,该攻击并非针对特定地区或行业。Fortinet还表示,已直接通知受影响的客户。
为了防止此类问题再次发生,Fortinet推出了一系列FortiOS软件更新:
– FortiOS 7.4、7.2、7.0和6.4版本:将符号链接标记为恶意文件,以便由防病毒引擎自动删除。
– FortiOS 7.6.2、7.4.7、7.2.11、7.0.17和6.4.16版本:删除了符号链接,并修改了SSL-VPN用户界面,以防止此类恶意符号链接的传播。
Fortinet建议客户将其系统更新至FortiOS 7.6.2、7.4.7、7.2.11、7.0.17或6.4.16版本,审查设备配置,并将所有配置视为可能已被篡改,采取适当的恢复措施。
美国网络安全与基础设施安全局(CISA)也发布了相关安全公告,敦促用户重置暴露的凭据,并考虑在应用补丁之前禁用SSL-VPN功能。法国计算机应急响应小组(CERT-FR)在类似的公告中表示,他们已知晓此类入侵行为可追溯至2023年初。
watchTowr公司首席执行官Benjamin Harris在接受采访时表示,此次事件令人担忧,原因主要有两个。
首先,网络攻击的实施速度远远超过了组织进行漏洞修复的速度,而且攻击者显然深知这一点。其次,更令人恐惧的是,攻击者在快速入侵后多次部署了能够抵御组织所依赖的漏洞修复、升级和出厂重置等缓解措施的能力和后门,以维持对被入侵组织的持久访问。
Harris还表示,在watchTowr的客户群体中发现了后门部署的情况,并且许多被认定为“关键基础设施”的组织也受到了影响。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
