Fortinet：通过符号链接仍可访问已修复的 FortiGate VPN

攻击者被指利用已知已修复的漏洞，包括但不仅限于CVE-2022-42475、CVE-2023-27997和CVE-2024-21762。

Fortinet 公司在上周四发布的一份安全公告中提到，“威胁人员使用一个已知漏洞执行对易受 FortiGate 设备的只读权限。他们创建了一个符号链接，连接用于为SSL-VPN提供语言文件的文件夹中的用户文件系统和root 文件系统。”该公司表示，该修改发生在用户文件系统中，并设法躲避检测，导致该符号链接在初始访问权限中的漏洞被修复后仍然被遗忘了。这就导致威胁人员维持对设备文件系统（包括配置）上文件的只读权限。然而，从未启用 SSL-VPN 的客户并不受此影响。

虽然目前尚不清楚幕后黑手是谁，但Fortinet 公司表示调查后发现该攻击并非针对任何特定的区域或行业。该公司还表示已经直接通知受影响的客户。

为阻止此类问题再次发生，FortiOS 已推出一系列软件更新：

建议客户将实例更新至 FortiOS 7.6.2、7.4.7、7.2.11、7.0.17或6.4.16，查看设备配置并将所有配置视作可能受陷并执行合适的恢复步骤。

CISA 已发布公告，督促用户重新设置被暴露的凭据并考虑在补丁发布前禁用 SSL-VPN 功能。法国CERT也发布类似通告表示，早在2023年就发现攻陷情况。

watchTowr 公司的首席执行官 Benjamin Harris 表示该事件引人注意的原因有两个。受陷，在野利用的速度要比组织机构打补丁的速度快得多。更重要的是，攻击者显然已经深刻认识到了这一事实。第二个原因更令人担忧，我们已经无数次看到，快速利用后，攻击者部署多项能力和后门来绕过补丁、升级和出厂设置流程（而这是组织机构赖以缓解这些状况的措施），以维持持久性和对受陷组织机构的访问权限。Harris 还表示，已在 watchTowr 客户库中发现后门部署，并“发现很多人都会称之为关键基础设施的组织机构受影响”。