黑客针对Fortinet漏洞的利用

admin 2024年10月13日15:01:59评论36 views字数 2023阅读6分44秒阅读模式

今天看到Fortinet FortiOS RCE漏洞(CVE-2024-23113)的POC公开售卖168刀(约1176RMB),这周还卖了90份……CISA在三天前发布公告声明该漏洞已被在野利用。

POC肯定是不会剁手的,今天也不分析漏洞的细节,看下APT组织实际攻击中如何利用Fortinet的漏洞。

黑客针对Fortinet漏洞的利用

说起Fortinet不得不起到之前的两个典型漏洞:CVE-2022-42475和CVE-2023-27997,都是Fortinet RCE的洞,荷兰军事情报和安全局还发文称中国黑客在 2022 年至 2023 年期间利用其中的CVE-2022-42475漏洞入侵了至少 20000 台 Fortigate 网络安全设备。

黑客针对Fortinet漏洞的利用

下面分析一个典型的利用形式

黑客针对Fortinet漏洞的利用

在这个集群中,ld.so.preload 文件会被系统上的/bin/smit文件预加载,这导致所有 FortiOS 进程在启动时加载并执行 /data2/libcrashpad.so 共享对象文件,利用这种预加载机制保持持久性。

ld.so.preload 日志查询语法:

host.os.type:linux and event.category:file and event.action:(updated or renamed or rename or file_rename_event) andnot event.type:deletion and file.path:/etc/ld.so.preload and not process.name:(wine or oneagentinstallaction)

libcrashpad.so 是一个共享库文件,当运行ripd进程且没有检测到锁文件时触发/data2/tftpd

tftpd 是一个主要用于投放额外恶意文件和其他恶意功能的可执行文件,主要执行以下操作:

  1. 持久化:通过创建 /data/etc/ld.so.preload 文件,写入 /data2/libcrashpad.so 的路径,确保 libcrashpad.so 在系统重启后仍能被加载。

  2. 时间篡改(Timestomping):为了逃避检测和反取证,tftpd 修改多个文件的访问和修改时间,使其与系统关键文件的时间戳一致。这些文件包括 /bin/smit、/bin/toybox、/data/etc/ld.so.preload、/data2/libcrashpad.so、/data2/tftpd 和 /lib/libaprhelper.so。

  3. 进程注入:枚举所有运行中的进程,检查 sslvpnd 进程是否存在。一旦找到,tftpd 会投放 /lib/libaprhelper.so 并将其注入 sslvpnd 进程中,通过文件系统套接字 /tmp/clientsDownload.sock 从 sslvpnd 进程接收数据。

  4. 替换系统文件:投放 /bin/smit 和 /bin/toybox 二进制文件,删除原有的 FortiOS 符号链接,并将新二进制文件设置为系统命令(如将 /bin/toybox 复制为新的 /bin/sh)。

  5. 解密凭证:解密存储在配置中的凭证。

libaprhelper.so 被 tftpd 程序投放注入到 sslvpnd 进程中的恶意文件,它会修改进程中处理网络连接的函数(accept 和 accept4),当 sslvpnd 接收到新的网络连接请求时,首先 libaprhelper.so 会使用真正的系统功能来处理连接,然后它会从接收到的连接数据中获取48个字节的信息,并在其中的第15个字节开始,检查一个特定的8字节模式 DA F3 64 13 C2 8D 63 C3。如果找到了这个特定的字节序列,libaprhelper.so 会通过文件系统接口(如 /tmp/clientsDownload.sock)与 tftpd 程序共享这个连接,以便进行后续信息窃取等操作。

/bin/smit 是指向 /bin/init 的符号链接,恶意的 smit 二进制文件通过创建子进程来执行 /bin/init,当子进程终止后会执行以下恶意操作:

  1. 通过创建包含 /data2/libcrashpad.so 路径的 /data/etc/ld.so.preload 文件,建立恶意软件的持久性。

  2. 对 /data/etc/ld.so.preload 文件进行时间篡改,使其访问和修改时间与 /bin/init 的时间戳一致。

tftpd 投放了一个 toybox 二进制文件,并创建了一个新的符号链接,将 /bin/sh 链接到 /bin/toybox。
Toybox 是一个静态二进制包,包含多种功能,如 insmod、iotop、lsmod、lsusb、makedev、mkdir、mkfifo、nc、netcat、pivot_root、route、wget、ftpget、shred 等工具。这些工具可以修改系统和网络设置,有助于执行进一步的操作,如数据外泄、横向移动到其他设备以及获取更多系统信息。

黑客针对Fortinet漏洞的利用

原文始发于微信公众号(KeepHack1ng):黑客针对Fortinet漏洞的利用

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月13日15:01:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑客针对Fortinet漏洞的利用http://cn-sec.com/archives/3261422.html

发表评论

匿名网友 填写信息