近日，根據(jù) Fortinet 最新報(bào)告：不明來源的的攻擊者利用零日漏洞針對政府和大型組織，導(dǎo)致操作系統(tǒng)和文件損壞以及數(shù)據(jù)丟失。

Fortinet于2023年3月7日發(fā)布了安全更新，以解決這個高危安全漏洞（CVE-2022-41328），該漏洞可以讓攻擊者執(zhí)行未經(jīng)授權(quán)的代碼或命令。

該公司在公告中說：FortiOS中的路徑名對受限目錄漏洞的不當(dāng)限制（路徑穿越）[CWE-22]允許有特權(quán)的攻擊者通過CLI命令讀取和寫入任意文件。

受影響的產(chǎn)品包括FortiOS 6.4.0至6.4.11版本，F(xiàn)ortiOS 7.0.0至7.0.9版本，F(xiàn)ortiOS 7.2.0至7.2.3版本，以及FortiOS 6.0和6.2的所有版本。

雖然該漏洞的公告沒有提到該漏洞被人在野外利用，但Fortinet上周發(fā)布的一份報(bào)告顯示，CVE-2022-41328漏洞已被用來入侵并攻陷客戶的多個FortiGate防火墻設(shè)備。

數(shù)據(jù)竊取惡意軟件

該事件是在被攻擊的Fortigate設(shè)備中斷后發(fā)現(xiàn)的，由于FIPS錯誤，系統(tǒng)進(jìn)入錯誤模式并無法重新啟動。

Fortinet說，發(fā)生這種情況是因?yàn)槠渲С諪IPS的設(shè)備驗(yàn)證了系統(tǒng)組件的完整性，而且它們被設(shè)置為自動關(guān)閉并停止啟動，以便在檢測到破壞時(shí)阻止網(wǎng)絡(luò)入侵。

這些Fortigate防火墻是通過受害者網(wǎng)絡(luò)上的FortiManager設(shè)備被破壞的，因?yàn)樗鼈兺瑫r(shí)停止，并且FortiGate路徑遍歷漏洞與通過FortiManager執(zhí)行的腳本同時(shí)啟動。

隨后的調(diào)查顯示，攻擊者修改了設(shè)備固件鏡像（/sbin/init），在啟動過程開始前啟動一個有效載荷（/bin/fgfm）。

這種惡意軟件在收到含有";7(Zu9YTsA7qQ#vm "字符串的ICMP數(shù)據(jù)包時(shí)，可以進(jìn)行數(shù)據(jù)滲透，下載和寫入文件，或打開遠(yuǎn)程外殼。

用來攻擊政府網(wǎng)絡(luò)的零日

Fortinet認(rèn)為，這些攻擊具有很強(qiáng)的針對性，主要針對政府網(wǎng)絡(luò)。攻擊者還具有很強(qiáng)的攻擊手段及能力，包括反向設(shè)計(jì)FortiGate設(shè)備的部分操作系統(tǒng)。因?yàn)樵撀┒葱枰獙ortiOS和底層硬件有深入的了解。

今年1月，F(xiàn)ortinet披露了一系列非常類似的事件，2022年12月打了補(bǔ)丁并被追蹤為CVE-2022-42475的FortiOS SSL-VPN漏洞也被用作針對政府組織和政府相關(guān)實(shí)體的零日漏洞。

最后，該公司建議Fortinet的用戶立即升級到FortiOS的補(bǔ)丁版本，以阻止?jié)撛诘墓簟?/p>