今年1月資安業者Arctic Wolf揭露攻擊行動Console Chaos,駭客鎖定Fortinet防火牆的零時差漏洞CVE-2024-55591而來,隔月Fortinet透露這起攻擊行動攻擊者搭配另一項身分驗證繞過漏洞CVE-2025-24472,然而近期出現攻擊者利用已知漏洞的情況。
4月10日,資安業者Fortinet發布警告,揭露他們近期發現鎖定該廠牌防火牆FortiGate已知漏洞而來的攻擊行動,攻擊者針對已啟用SSL VPN功能的防火牆設備而來,以便在唯讀存取FortiGate的狀態下,持續讀取受害FortiGate設備的檔案系統,而得以擷取系統組態資訊,這些遭到利用的漏洞,包含:CVE-2022-42475、CVE-2023-27997、CVE-2024-21762,CVSS風險介於9.2至9.5分。Fortinet在察覺此事後啟動PSIRT事件回應工作,開發緩解措施,並與受到影響的客戶合作來因應。該公司呼籲用戶,應更新防火牆作業系統FortiOS至7.6.2、7.4.7、7.2.11、7.0.17、6.4.16版因應這波攻擊。
對於駭客利用上述的資安漏洞,Fortinet指出駭客的目的是建立唯讀的存取管道,駭客藉由受害防火牆尚未修補的漏洞,將使用者檔案系統(user filesystem,/usr資料夾)及根檔案系統(root filesystem,最上層的/資料夾)當中,用於處理SSL VPN語言檔案的資料夾進行符號連結(Symbolic Link),由於這種竄改手法發生在使用者檔案系統上,使得攻擊者能夠回避偵測。
值得留意的是,Fortinet也提及若是受害組織察覺異狀,僅有修補前述已知漏洞,由於攻擊者打造的符號連結很可能還保留在設備上,使得他們有機會藉此持續存取受害的防火牆。Fortinet指出,只有曾經啟用SSL VPN機制的防火牆才會受到影響,未曾啟用這類機制的企業組織不會曝險。
