高级攻击者以Fortinet FortiOS为目标攻击政府实体

一个未知的威胁行为者通过利用Fortinet FortiOS中的安全漏洞以政府实体和大型组织为目标。

Fortinet研究人员警告高级威胁行为者,并以政府或政府相关实体为目标。

未知威胁参与者正在利用Fortinet FortiOS软件中的一个漏洞,该漏洞被跟踪为CVE-2022-41328,该漏洞可能允许特权攻击者通过精心设计的CLI命令读取和写入任意文件。

CVE-2022-41328漏洞(CVSS 评分:6.5)是FortiOS中的一个路径遍历问题,可导致任意代码执行。

“FortiOS中对受限目录漏洞(‘路径遍历’)[CWE-22] 的路径名的不当限制可能允许特权攻击者通过精心设计的CLI命令读取和写入任意文件。”

该漏洞影响FortiOS版本6.0、6.2、6.4.0至6.4.11、7.0.0至7.0.9以及7.2.0至7.2.3。该公司分别发布了6.4.12、7.0.10 和7.2.4版本来解决该漏洞。

在一位客户的FortiGate设备突然停止且无法重新启动后,Fortinet对这些攻击展开了调查。设备停止显示以下错误消息:

“由于FIPS错误,系统进入错误模式:固件完整性自检失败”

完整性测试失败会阻止设备重新启动,以保护网络的完整性。

研究人员发现攻击者修改了固件映像中的/sbin/init文件夹,他们注意到存在一个新文件/bin/fgfm。修改旨在为攻击者提供持久访问。

“对/sbin/init的修改确保/bin/fgfm在继续执行常规启动操作之前运行,这可能为攻击者提供持久的访问和控制。”

执行fgfm恶意软件后,它会联系远程服务器(C2)并等待命令执行。

恶意代码可以根据从C&C服务器接收到的命令执行各种操作,包括退出程序、窃取数据、下载/写入文件、建立远程 shell。

该安全公司指出,利用该漏洞需要对FortiOS和底层硬件有深入的了解,这种情况表明高级参与者的参与。

攻击者能够基于对FortiOS各个部分的逆向工程创建自定义植入程序。

“这次攻击具有很强的针对性,有一些迹象表明首选政府或与政府相关的目标。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4943.html

标签