Fortinet上周说明它的SSL VPN产品漏洞,曾在去年间被黑客用来攻击政府机关及相关单位。
Fortinet去年12月12日发布安全公告,SSL VPN存在重大漏洞CVE-2022-42475,是出于FortiOS的sslvpnd模块的内存缓冲区溢出漏洞,成功的滥用可让未经验证的用户远程瘫痪SSL VPN设备,或是执行任意程序代码,CVSS风险评分为9.3。Fortinet当时说已出现攻击行动,上周则是公布更多细节。
Fortinet发现到针对政府及政府相关组织所发动的精准攻击行动。这次发现的是过去为FortiOS定制化的Linux二进制档Bakso后门程序的Windows变种。这只恶意程序操弄FortiOS的记录流程,最后删除记录文件以躲避侦测及长期渗透。其他下载程序则破坏了Fortinet的入侵侦测(IPS)功能,使其无法监测流量中的违法活动。
该公司分析指出,黑客对FortiOS及底层硬件具有深度了解,这只定制化程序的使用展现攻击者的高端能力,包括对FortiOS多个部分逆向工程。
这些Windows样本是在协调时区+8的机器上汇编,显示可能落在澳洲、俄罗斯、中国、新加坡等其他国家。而汇编成的程序所使用自行签发的凭证,也是在协调时间凌晨3点到8点制作。但由于黑客攻击多半是在受害者的上班时间活动,将攻击流程与一般流量混合以达到混淆的目的,因此Fortinet目前无法确切识别出黑客身份。
Fortinet在发出公告前,已经发布新版本修补该漏洞。该公司建议用户应尽快更新到最新版本。