Fortinet FortiOS漏洞被用于攻击政府实体
编译:代码卫士
未知威胁组织正在利用Fortinet FortiOS 中的一个0day漏洞 (CVE-2022-41328),攻击政府实体和大型组织机构,窃取数据并损坏操作系统和文件。
Fortinet公司的研究员 Guillaume Lovet和Alex Kong 在上周发布的安全公告中指出,“利用的复杂度表明攻击者是高阶攻击者,并且正在高度集中攻击政府或与政府相关的目标。”
CVE-2022-41328的CVSS评分为6.5,是一个位于FortiOS中的中危路径遍历漏洞,可导致任意代码执行后果。
Fortinet 公司提到,“位于FortiOS 中的路径遍历漏洞可能导致特权攻击者,通过构造的CLI命令,读和写任意文件。”
该漏洞影响 FortiOS 版本6.0、6.2、6.4.0至6.4.11,7.0.0至7.0.9,以及7.2.0至7.2.3。修复方案已分别在版本6.4.12、7.0.10和7.2.4中发布。
前几天,Fortinet公司就发布补丁,修复了15个漏洞,其中包括CVE-2022-41328和一个影响FortiOS和FortiProxy的严重的堆缓冲区下溢漏洞(CVE-2023-25610,CVSS评分9.3)。
Fortinet公司指出,某客户的多款FortiGate设备遭“突然的系统停止和随后启动失败”,说明完整性遭攻击。进一步分析该事件表明,攻击者修改了设备的固件镜像,包含了一个新的payload (“/bin/fgfm”), 在启动流程开始之前就一直总是启动的状态。该 /bin/fgfm 恶意软件旨在与远程服务器建立联系,从受陷主机中下载文件、提取数据并获得远程shell访问权限。该固件中发生的其它变化使得攻击者能够获得持久访问和控制权限,更不用说在启动时禁用固件验证。
Fortinet 公司表示,该攻击具有高度针对性,主要目标是政府组织机构或与政府相关的组织机构。鉴于利用的复杂性,攻击者可能“深入了解FortiOS 和底层固件”,并能够处理高阶能力,逆向FortiOS操作系统的不同方面。
目前尚不清楚该攻击者是否与今年1月早些时候利用FortiOS SSL-VPN (CVE-2022-42475) 部署Linux 植入的入侵事件有关。
美国:APT 组织正在利用 Fortinet FortiOS 发动攻击
https://thehackernews.com/2023/03/fortinet-fortios-flaw-exploited-in.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。