HackerNews 04月17日 11:35
超1.6万台 Fortinet 设备遭新型符号链接后门入侵
index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html

 

Shadowserver基金会报告称,超过16,000台暴露在互联网上的Fortinet设备受到新型符号链接后门攻击。攻击者利用已修复漏洞的FortiGate设备上的符号链接,获取对敏感文件的只读访问权限。该攻击并非利用新漏洞,而是与2023年至2024年的攻击相关,当时攻击者通过零日漏洞入侵FortiOS设备,并在启用SSL-VPN的设备上创建符号链接。即使原始漏洞已被修复,这些符号链接仍允许攻击者持续访问设备文件系统,读取配置等文件。Fortinet已发布更新以检测和移除恶意符号链接,并建议用户重置凭证。

🛡️ 攻击影响范围广:超过16,000台Fortinet设备受到新型符号链接后门攻击,表明该攻击具有广泛的影响力,可能导致大量用户数据面临风险。

🔗 利用旧漏洞的新手法:攻击者并非利用新漏洞,而是利用已修复漏洞的设备上的符号链接,持续获取对根文件系统的只读访问权限。这表明攻击者善于利用旧漏洞进行持久化攻击。

🔑 攻击原理:攻击者通过在SSL-VPN语言文件服务目录中创建连接用户文件系统与根文件系统的符号链接,即使原始漏洞已被修复,也能持续读取设备文件系统内的配置等文件。

🛠️ 厂商应对措施:Fortinet已发布更新的AV/IPS特征库以检测并移除受感染设备中的恶意符号链接,并建议用户重置所有凭证,采取额外安全措施。

⚠️ 用户风险:若设备被检测为已入侵,攻击者可能已获取包含凭证的最新配置文件,用户需立即采取措施,以降低潜在的数据泄露风险。

HackerNews 编译,转载请注明出处:

威胁监测平台Shadowserver基金会报告称,超过16,000台置身于互联网的Fortinet设备被检测到感染了一种新型符号链接(symlink)后门,攻击者可借此获取对先前已遭入侵设备的敏感文件的只读访问权限。

此前,该平台曾报告14,000台设备受影响。目前,Shadowserver的Piotr Kijewski向BleepingComputer证实,该网络安全组织已检测到16,620台设备受此最新曝光的持久化机制影响。

上周,Fortinet警告客户称发现攻击者利用一种新型机制,在已修复漏洞但先前遭入侵的FortiGate设备上保留对根文件系统的远程只读访问权限。

Fortinet表示,此攻击并非利用新漏洞,而是与2023年至2024年的攻击行为相关。攻击者当时通过零日漏洞入侵FortiOS设备,并在启用SSL-VPN的设备上创建指向根文件系统的语言文件夹符号链接。由于启用SSL-VPN的FortiGate设备的语言文件可公开访问,攻击者可通过该文件夹持续获取根文件系统的只读权限(即使原始漏洞已被修复)。

Fortinet在声明中解释:攻击者利用已知漏洞对存在缺陷的FortiGate设备实施只读访问。其通过在SSL-VPN语言文件服务目录中创建连接用户文件系统与根文件系统的符号链接实现。该修改发生于用户文件系统内,因此未被检测到。

即使客户设备已升级修复原始漏洞的FortiOS版本,此符号链接可能仍残留,使攻击者能持续读取设备文件系统内的配置等文件。

本月,Fortinet开始通过邮件私下通知被FortiGuard检测到感染符号链接后门的FortiGate设备用户。

Fortinet已发布更新的AV/IPS特征库以检测并移除受感染设备中的恶意符号链接。最新固件版本也已更新检测与清除功能,并阻止内置Web服务器提供未知文件/目录访问。

若设备被检测为已入侵,攻击者可能已获取包含凭证的最新配置文件。因此,Fortinet建议管理员重置所有凭证,并遵循官方指南中的其他操作步骤。

 

 


消息来源:bleepingcomputer

本文由 HackerNews.cc 翻译整理,封面来源于网络; 

转载请注明“转自 HackerNews.cc”并附上原文

Fish AI Reader

Fish AI Reader

AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。

FishAI

FishAI

鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑

联系邮箱 441953276@qq.com

相关标签

Fortinet 后门攻击 网络安全 漏洞利用
相关文章