Fortinet：新的零日漏洞攻击政府网络，窃取数据

近日，根据 Fortinet 最新报告：不明来源的的攻击者利用零日漏洞针对政府和大型组织，导致操作系统和文件损坏以及数据丢失。

Fortinet于2023年3月7日发布了安全更新，以解决这个高危安全漏洞（CVE-2022-41328），该漏洞可以让攻击者执行未经授权的代码或命令。

该公司在公告中说：FortiOS中的路径名对受限目录漏洞的不当限制（路径穿越）[CWE-22]允许有特权的攻击者通过CLI命令读取和写入任意文件。

受影响的产品包括FortiOS 6.4.0至6.4.11版本，FortiOS 7.0.0至7.0.9版本，FortiOS 7.2.0至7.2.3版本，以及FortiOS 6.0和6.2的所有版本。

虽然该漏洞的公告没有提到该漏洞被人在野外利用，但Fortinet上周发布的一份报告显示，CVE-2022-41328漏洞已被用来入侵并攻陷客户的多个FortiGate防火墙设备。

该事件是在被攻击的Fortigate设备中断后发现的，由于FIPS错误，系统进入错误模式并无法重新启动。

Fortinet说，发生这种情况是因为其支持FIPS的设备验证了系统组件的完整性，而且它们被设置为自动关闭并停止启动，以便在检测到破坏时阻止网络入侵。

这些Fortigate防火墙是通过受害者网络上的FortiManager设备被破坏的，因为它们同时停止，并且FortiGate路径遍历漏洞与通过FortiManager执行的脚本同时启动。

随后的调查显示，攻击者修改了设备固件镜像（/sbin/init），在启动过程开始前启动一个有效载荷（/bin/fgfm）。

这种恶意软件在收到含有";7(Zu9YTsA7qQ#vm "字符串的ICMP数据包时，可以进行数据渗透，下载和写入文件，或打开远程外壳。

Fortinet认为，这些攻击具有很强的针对性，主要针对政府网络。攻击者还具有很强的攻击手段及能力，包括反向设计FortiGate设备的部分操作系统。因为该漏洞需要对FortiOS和底层硬件有深入的了解。

今年1月，Fortinet披露了一系列非常类似的事件，2022年12月打了补丁并被追踪为CVE-2022-42475的FortiOS SSL-VPN漏洞也被用作针对政府组织和政府相关实体的零日漏洞。

最后，该公司建议Fortinet的用户立即升级到FortiOS的补丁版本，以阻止潜在的攻击。

参考链接：