本週資安業者Fortinet發布資安公告,指出旗下防火牆遭遇CVE-2022-42475、CVE-2023-27997、CVE-2024-21762等已知漏洞(CVSS風險介於9.2至9.5分)攻擊,駭客鎖定已經啟用SSL VPN功能的設備而來,並透過符號連結(Symbolic Link)建立能持續存取的管道,巧合的是,在此同時也有駭客兜售零時差漏洞。
根據Dark Reading、SecurityWeek等資安新聞媒體的報導,4月13日威脅情報業者ThreatMon提出警告,他們發現有人在暗網論壇聲稱握有Fortinet防火牆設備FortiGate的零時差漏洞,攻擊者一旦觸發,就有機會在未經授權的情況下,遠端執行任意程式碼(RCE),並且完整存取防火牆作業系統FortiOS的組態。
駭客號稱能藉由漏洞存取敏感資料,這些資料包含:本機使用者帳密檔案(當中包含經加密處理的密碼)、管理員帳號權限與信任關係、雙因素驗證狀態,以及完整的防火牆規則、NAT規則、IP映射、內部資產等。
但這項零時差漏洞的消息真實性如何?目前仍不得而知,ThreatMon沒有進一步說明。而Fortinet揭露的攻擊行動是否與這項漏洞有關,也有待資安研究員後續公布調查結果。
