关注我们
带你读懂网络安全
Fortinet发布警告称,攻击者利用部分已知漏洞获取了目标设备的只读权限,即使受害者更新系统修复漏洞,该权限依然保留,使得攻击者可以长期访问目标设备窃取敏感配置信息等;
Shadowserver基金会扫描发现,约14300台感染的Fortinet设备暴露在互联网上,其中美国、中国、日本数量位列前三。
前情回顾·安全产品漏洞利用态势
安全内参4月15日消息,Shadowserver基金会的公开扫描结果显示,超过14000台Fortinet VPN设备持续处于黑客控制之下,黑客可能已潜伏多年,导致敏感数据长期面临风险。
网络安全硬件巨头Fortinet公司上周表示,受影响设备为具备SSL-VPN功能的FortiOS产品,这些设备曾在2023年及更早前的攻击中被暴露。尽管相关漏洞已打补丁,网络犯罪分子仍保有对部分曾被攻破的Fortinet文件的只读访问权限。
多国监管机构发布预警
全球多国监管机构警告称,黑客可通过被攻陷的设备访问敏感文件,包括凭证、配置文件以及其他关键资料。
Shadowserver基金会扫描发现,约有14300台感染的Fortinet设备暴露在互联网上,其中约1500台位于美国,其次是中国(1100台,其中内地500台,台湾600台)、日本(600台)、法国(500台)。
图:Shadowserver数据显示亚洲、欧洲、北美受影响最严重
此外,Shadowserver还发现有300多台受影响的FortiOS设备位于泰国、土耳其、以色列、意大利、加拿大、印度、西班牙、印度尼西亚和马来西亚。
美国网络安全和基础设施安全局(CISA)发布警告,呼吁网络管理员尽快将Fortinet设备升级至新版FortiOS,以清除恶意文件并防止再次遭到入侵。
CISA还建议管理员检查配置、重设可能已泄露的凭证,甚至在打补丁之前,先行禁用SSL-VPN功能。
新西兰国家网络安全中心警告称:“所有系统配置应视为可能已被篡改。”
法国国家网络安全响应中心(CERT-FR)指出,已有“大规模攻击活动”在法国导致大量设备被攻陷,相关攻击可追溯至2023年初。
与此同时,许多Fortinet管理员仍未修补另一个严重的身份验证绕过漏洞(CVE-2024-55591),该漏洞的CVSS评分高达9.8(满分10分),于2025年1月14日披露并修复。目前Shadowserver仍在追踪超过30000台受此漏洞影响的Fortinet设备。
攻击者如何做到长期潜伏?
Fortinet解释称,攻击者利用后渗透技术,借助此前已知的Fortinet漏洞(包括CVE-2024-21762、CVE-2023-27997和CVE-2022-42475)植入恶意文件。
他们创建了一个“符号链接,将用户文件系统与根文件系统连接在用于提供SSL-VPN语言文件的文件夹中”。因此,即便系统后来更新并修复了漏洞,该符号链接依然存在,成为进入系统敏感区域的捷径。
通过篡改用户文件系统,黑客还能够规避安全检测。
Fortinet发布的警告称:“即便客户设备已升级至修复原始漏洞的FortiOS版本,该符号链接仍可能残留,使得威胁行为者可以继续以只读方式访问设备文件系统中的内容,包括配置文件等。”
只有从未启用过SSL-VPN功能的系统可以被视为未受影响。
Fortinet表示,已通过内部遥测数据并与第三方机构协作开展扫描工作,以识别受影响设备,并已直接联系相关客户。
Fortinet警告称:“所有组织必须严肃对待设备更新问题。多国政府机构报告指出,国家支持的黑客团体正在针对所有厂商的产品发动攻击,尤其是那些已知却尚未修补的漏洞。”
参考资料:cybernews.com
原文始发于微信公众号(安全内参):超1.4万台Fortinet设备长期被黑客入侵,约1100台位于中国
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论