Fortinet上周說明它的SSL VPN產品漏洞,曾在去年間被駭客用來攻擊政府機關及相關單位。

Fortinet去年12月12日發布資安公告,SSL VPN存在重大漏洞CVE-2022-42475,是出於FortiOS的sslvpnd模組的記憶體緩衝區溢位漏洞,成功的濫用可讓未經驗證的使用者遠端癱瘓SSL VPN設備,或是執行任意程式碼,CVSS風險評分為9.3。Fortinet當時說已出現攻擊行動,上周則是公布更多細節。

Fortinet發現到針對政府及政府相關組織所發動的精準攻擊行動。這次發現的是過去為FortiOS客製化的Linux二進位檔Bakso後門程式的Windows變種。這隻惡意程式操弄FortiOS的紀錄流程,最後刪除紀錄檔以躲避偵測及長期滲透。其他下載程式則破壞了Fortinet的入侵偵測(IPS)功能,使其無法監測流量中的違法活動。

該公司分析指出,駭客對FortiOS及底層硬體具有深度了解,這隻客製化程式的使用展現攻擊者的進階能力,包括對FortiOS多個部分逆向工程。

這些Windows樣本是在協調時區+8的機器上組譯,顯示可能落在澳洲、俄羅斯、中國、新加坡等其他國家。而組譯成的程式所使用自行簽發的憑證,也是在協調時間凌晨3點到8點製作。但由於駭客攻擊多半是在受害者的上班時間活動,將攻擊流程與一般流量混合以達到混淆的目的,因此Fortinet目前無法確切辨識出駭客身分。

Fortinet在發出公告前,已經釋出新版本修補該漏洞。該公司建議用戶應儘速更新到最新版本。

熱門新聞

Advertisement