在最近的網絡安全觀察中發(fā)現,Fort.NET公司上個月已解決的 FortIOS SSL-VPN 中的一個零日漏洞,被不知名的攻擊者利用在針對政府和其他大型組織的攻擊中。該漏洞利用的復雜性表明它是高級攻擊者,而且它高度針對政府或與政府相關的目標。
根據中國網絡安全行業(yè)門戶極牛網(GeekNB.com)的梳理,這些攻擊需要利用的漏洞號為 CVE-2022-42475,這是一種基于堆的緩沖區(qū)溢出漏洞,可以使未經身份驗證的遠程攻擊者通過特制請求執(zhí)行任意代碼。
安全研究人員在對感染鏈進行分析時發(fā)現,最終目標是部署一個為 FortiOS 修改的通用 linux 植入物,該植入物能夠破壞 Fortinet 的IPS入侵防御系統模塊,并與遠程服務器建立連接以下載其他惡意軟件并執(zhí)行命令。
此外,作案手法揭示了使用混淆來阻止分析以及使用“高級功能”來操縱 FortiOS 日志記錄和終止日志記錄進程以保持未被發(fā)現。
攻擊者還會搜索 FortiOS 中的事件日志 elog 文件,在內存中解壓后,搜索攻擊者指定的字符串,將其刪除,然后重建日志,以此來隱藏攻擊行為。
極牛攻防實驗室研究人員表示,利用該漏洞需要深入了解 FortiOS 和底層硬件,并且攻擊者擁有對 FortiOS 的不同部分進行逆向工程的能力。
