在最近的網(wǎng)絡(luò)安全觀察中發(fā)現(xiàn),F(xiàn)ort.NET公司上個月已解決的 FortIOS SSL-VPN 中的一個零日漏洞,被不知名的攻擊者利用在針對政府和其他大型組織的攻擊中。該漏洞利用的復(fù)雜性表明它是高級攻擊者,而且它高度針對政府或與政府相關(guān)的目標(biāo)。
根據(jù)中國網(wǎng)絡(luò)安全行業(yè)門戶極牛網(wǎng)(GeekNB.com)的梳理,這些攻擊需要利用的漏洞號為 CVE-2022-42475,這是一種基于堆的緩沖區(qū)溢出漏洞,可以使未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者通過特制請求執(zhí)行任意代碼。
安全研究人員在對感染鏈進(jìn)行分析時發(fā)現(xiàn),最終目標(biāo)是部署一個為 FortiOS 修改的通用 linux 植入物,該植入物能夠破壞 Fortinet 的IPS入侵防御系統(tǒng)模塊,并與遠(yuǎn)程服務(wù)器建立連接以下載其他惡意軟件并執(zhí)行命令。
此外,作案手法揭示了使用混淆來阻止分析以及使用“高級功能”來操縱 FortiOS 日志記錄和終止日志記錄進(jìn)程以保持未被發(fā)現(xiàn)。
攻擊者還會搜索 FortiOS 中的事件日志 elog 文件,在內(nèi)存中解壓后,搜索攻擊者指定的字符串,將其刪除,然后重建日志,以此來隱藏攻擊行為。
極牛攻防實(shí)驗(yàn)室研究人員表示,利用該漏洞需要深入了解 FortiOS 和底層硬件,并且攻擊者擁有對 FortiOS 的不同部分進(jìn)行逆向工程的能力。
