Fortinet FortiOS漏洞被用于攻击政府实体

Fortinet公司的研究员 Guillaume Lovet和Alex Kong 在上周发布的安全公告中指出，“利用的复杂度表明攻击者是高阶攻击者，并且正在高度集中攻击政府或与政府相关的目标。”

CVE-2022-41328的CVSS评分为6.5，是一个位于FortiOS中的中危路径遍历漏洞，可导致任意代码执行后果。

Fortinet 公司提到，“位于FortiOS 中的路径遍历漏洞可能导致特权攻击者，通过构造的CLI命令，读和写任意文件。”

该漏洞影响 FortiOS 版本6.0、6.2、6.4.0至6.4.11，7.0.0至7.0.9，以及7.2.0至7.2.3。修复方案已分别在版本6.4.12、7.0.10和7.2.4中发布。

前几天，Fortinet公司就发布补丁，修复了15个漏洞，其中包括CVE-2022-41328和一个影响FortiOS和FortiProxy的严重的堆缓冲区下溢漏洞（CVE-2023-25610，CVSS评分9.3）。

Fortinet公司指出，某客户的多款FortiGate设备遭“突然的系统停止和随后启动失败”，说明完整性遭攻击。进一步分析该事件表明，攻击者修改了设备的固件镜像，包含了一个新的payload (“/bin/fgfm”)， 在启动流程开始之前就一直总是启动的状态。该 /bin/fgfm 恶意软件旨在与远程服务器建立联系，从受陷主机中下载文件、提取数据并获得远程shell访问权限。该固件中发生的其它变化使得攻击者能够获得持久访问和控制权限，更不用说在启动时禁用固件验证。

Fortinet 公司表示，该攻击具有高度针对性，主要目标是政府组织机构或与政府相关的组织机构。鉴于利用的复杂性，攻击者可能“深入了解FortiOS 和底层固件”，并能够处理高阶能力，逆向FortiOS操作系统的不同方面。

目前尚不清楚该攻击者是否与今年1月早些时候利用FortiOS SSL-VPN  (CVE-2022-42475) 部署Linux 植入的入侵事件有关。