超过 16,000 台暴露在互联网上的 Fortinet 设备被检测到受到新的符号链接后门的攻击,该后门允许对之前受到攻击的设备上敏感文件进行只读访问。
威胁监控平台 Shadowserver Foundation 报告了这一事件,最初报告称有 14,000 台设备遭到暴露。
今天,Shadowserver 的 Piotr Kijewski 告诉 BleepingComputer,该网络安全组织现在检测到16,620 台设备受到最近披露的持久性机制的影响。
Fortinet 警告客户,他们发现了一种新的持久性机制,攻击者使用该机制保留对之前受到攻击但现在已修补的 FortiGate 设备根文件系统中文件的只读远程访问权限。
Fortinet 表示,这并不是通过利用新的漏洞,而是与 2023 年开始并持续到 2024 年的攻击有关,其中攻击者利用零日漏洞破坏了 FortiOS 设备。
一旦获得设备访问权限,他们就会在语言文件夹内创建指向启用 SSL-VPN 的设备根文件系统的符号链接。由于语言文件在启用 SSL-VPN 的 FortiGate 设备上是公开可访问的,因此即使在初始漏洞被修补后,攻击者也可以浏览该文件夹并获得对根文件系统的持久读取访问权限。
Fortinet 表示:“攻击者利用已知漏洞实现了对易受攻击的 FortiGate 设备的只读访问。具体方法是,在用于为 SSL-VPN 提供语言文件的文件夹中创建连接用户文件系统和根文件系统的符号链接。此修改发生在用户文件系统中,从而规避了检测 。 ”
因此,即使客户设备已更新至解决原始漏洞的 FortiOS 版本,此符号链接也可能被遗留,从而允许威胁行为者保持对设备文件系统上文件的只读访问权限,其中可能包括配置。
本月,Fortinet 开始通过电子邮件私下通知客户,FortiGuard 检测到的 FortiGate 设备已被此符号链接后门入侵。
Fortinet 已发布更新的 AV/IPS 签名,可检测并从受感染设备中删除此恶意符号链接。最新版本的固件也已更新,可检测并删除此链接。此更新还可阻止内置 Web 服务器提供未知文件和文件夹。
最后,如果检测到设备受到威胁,则攻击者有可能访问最新的配置文件,包括凭据。
因此,应重置所有凭据,并且管理员应遵循本指南中的其他步骤。
原文始发于微信公众号(犀牛安全):超过 16,000 台 Fortinet 设备遭符号链接后门攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/4018623.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论