HackerNews 编译,转载请注明出处:
威胁监测平台Shadowserver基金会报告称,超过16,000台置身于互联网的Fortinet设备被检测到感染了一种新型符号链接(symlink)后门,攻击者可借此获取对先前已遭入侵设备的敏感文件的只读访问权限。
此前,该平台曾报告14,000台设备受影响。目前,Shadowserver的Piotr Kijewski向BleepingComputer证实,该网络安全组织已检测到16,620台设备受此最新曝光的持久化机制影响。
上周,Fortinet警告客户称发现攻击者利用一种新型机制,在已修复漏洞但先前遭入侵的FortiGate设备上保留对根文件系统的远程只读访问权限。
Fortinet表示,此攻击并非利用新漏洞,而是与2023年至2024年的攻击行为相关。攻击者当时通过零日漏洞入侵FortiOS设备,并在启用SSL-VPN的设备上创建指向根文件系统的语言文件夹符号链接。由于启用SSL-VPN的FortiGate设备的语言文件可公开访问,攻击者可通过该文件夹持续获取根文件系统的只读权限(即使原始漏洞已被修复)。
Fortinet在声明中解释:攻击者利用已知漏洞对存在缺陷的FortiGate设备实施只读访问。其通过在SSL-VPN语言文件服务目录中创建连接用户文件系统与根文件系统的符号链接实现。该修改发生于用户文件系统内,因此未被检测到。
即使客户设备已升级修复原始漏洞的FortiOS版本,此符号链接可能仍残留,使攻击者能持续读取设备文件系统内的配置等文件。
本月,Fortinet开始通过邮件私下通知被FortiGuard检测到感染符号链接后门的FortiGate设备用户。
Fortinet已发布更新的AV/IPS特征库以检测并移除受感染设备中的恶意符号链接。最新固件版本也已更新检测与清除功能,并阻止内置Web服务器提供未知文件/目录访问。
若设备被检测为已入侵,攻击者可能已获取包含凭证的最新配置文件。因此,Fortinet建议管理员重置所有凭证,并遵循官方指南中的其他操作步骤。
消息来源:bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文