吳明宜Fortinet警告:駭客利用symlink繞過修補,持續存取FortiGate裝置,恐洩露防火牆組態,至少濫用三項CVE漏洞,攻擊可追溯至2023年初。
Fortinet 警告駭客已找到方法,可在一開始用來攻擊的漏洞被修補之後,持續讀取 FortiGate 裝置。
Fortinet 在上周的安全公告,揭露了新的攻擊手法。攻擊者利用已知漏洞存取 FortiGate 後,在 FortiGate 裝置上的語言檔資料夾建立一個象徵連結 (symlink),連到啟用 SSL VPN 的伺服器上的根檔案系統。這個連結讓攻擊者得以從外界可存取的 SSL VPN Web 管理控制台,以唯讀方式存取 FortiGate 裝置。因此,即使已經修補 FortiGate 的舊漏洞,這道 symlink 還是留在那,駭客就能暗中持續存取 FortiGate 的檔案系統,其中可能包含防火牆組態資料。
研究人員相信,攻擊者至少濫用至少 CVE-2022-42475 、 CVE-2023-27997 和 CVE-2024-21762 三個漏洞,且可能更多。
Fortinet 並未說明攻擊的時間點,但法國電腦網路危機處理中心 (CERT-FR) 認為,至少可以追溯到 2023 年初。
Fortinet 呼籲 FortiGate 用戶已儘速更新防火牆裝置的 FortiOS 到最新版,包括 7.6.2 、 7.4.7 、 7.2.11 、 7.0.17 和 6.4.16 版以移除攻擊後門。
CERT-FR 建議企業將有漏洞的 VPN 裝置和其他網路隔離開來,重設所有密碼或憑證、金鑰,且搜尋是否存在網路橫向移動的跡象。美國網路安全暨基礎架構安全管理署 (CISA) 也警告網路管理員或安全研究人員,應通報任何和 Fortinet 有關的異常活動。