与中国有关的APT可能与Fortinet零日攻击有关

一个据称是中国的威胁组织是利用 Fortinet 零日漏洞 (CVE-2022-41328) 对政府组织进行攻击的幕后黑手。

一个疑似与中国有关的组织正在利用Fortinet零日漏洞（跟踪号为CVE-2022-41328）针对政府组织发起攻击。

几天前，Fortinet研究人员警告说，有一种高级威胁行为者正以政府或政府相关实体为目标。

未知威胁参与者正在利用Fortinet FortiOS软件中的一个漏洞，该漏洞被跟踪为CVE-2022-41328，该漏洞可能允许特权攻击者通过精心设计的 CLI 命令读取和写入任意文件。

CVE-2022-41328漏洞（CVSS评分：6.5）是FortiOS中的一个路径遍历问题，可导致任意代码执行。

“FortiOS中对受限目录漏洞（‘路径遍历’）[CWE-22]的路径名的不当限制可能允许特权攻击者通过精心设计的 CLI 命令读取和写入任意文件。”

该漏洞影响FortiOS版本6.0、6.2、6.4.0至6.4.11、7.0.0至7.0.9以及7.2.0至7.2.3。该公司分别发布了6.4.12、7.0.10和7.2.4版本来解决该漏洞。

在一位客户的FortiGate设备突然停止且无法重新启动后，Fortinet对这些攻击展开了调查。设备停止显示以下错误消息：

“由于FIPS错误，系统进入错误模式：固件完整性自检失败”

完整性测试失败会阻止设备重启，以保护网络的完整性。

Mandiant研究人员将2022年年中发生的一系列攻击与被安全公司追踪为UNC3886的与中国有关的威胁行为者联系起来。

“一个可疑的中国关系威胁行为者可能已经可以访问受害环境，然后将后门部署到 Fortinet 和 VMware 解决方案上，作为维持对环境的持续访问的一种手段。”“这涉及使用FortiOS中的本地零日漏洞(CVE-2022-41328)以及在Fortinet和 VMware系统上部署多个自定义恶意软件系列。”

攻击者利用CVE-2022-41328零日漏洞将文件写入FortiGate防火墙磁盘，超出shell访问允许的正常范围，然后他们通过ICMP 端口敲击在FortiGate防火墙内以超级管理员权限保持持久访问。

威胁参与者还使用被动流量重定向实用程序绕过FortiManager设备上的防火墙规则。攻击者还使用在设备内创建的自定义API端点来维持FortiManager和FortiAnalyzer的持久性，然后通过有针对性地破坏引导文件来禁用系统文件的OpenSSL 1.1.0数字签名验证。

一旦破坏了Fortinet设备，威胁行为者就会使用两个以前未记录的恶意软件建立后门访问，一个伪装成合法API调用的基于Python的Thincrust后门和一个ICMP端口敲击Castletap被动后门。

一旦获得对Fortinet设备的访问权限，攻击者就会将ESXi服务器作为目标，部署包含VIRTUALPITA和VIRTUALPIE后门的恶意vSphere安装包。这允许攻击者保持对管理程序的持久访问并在来宾虚拟机上执行命令。

当 FortiManager未暴露在Internet上时，威胁参与者部署了流量重定向器(Tableflip)和被动后门(Reptile)来规避新的 ACL。

“许多网络设备缺乏解决方案来检测对底层操作系统所做的运行时修改，并且需要制造商直接参与以收集取证图像。跨组织的沟通和协作是让制造商在新攻击方法公开之前及早通知他们并让具有专业知识的调查人员更好地揭示这些新攻击的关键。”Mandiant 总结道。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5067.html