Fortinet說明VPN漏洞被濫用攻擊政府單位

Fortinet上周說明它的SSL VPN產品漏洞，曾在去年間被駭客用來攻擊政府機關及相關單位。

Fortinet去年12月12日發布資安公告，SSL VPN存在重大漏洞CVE-2022-42475，是出於FortiOS的sslvpnd模組的記憶體緩衝區溢位漏洞，成功的濫用可讓未經驗證的使用者遠端癱瘓SSL VPN設備，或是執行任意程式碼，CVSS風險評分為9.3。Fortinet當時說已出現攻擊行動，上周則是公布更多細節。

Fortinet發現到針對政府及政府相關組織所發動的精準攻擊行動。這次發現的是過去為FortiOS客製化的Linux二進位檔Bakso後門程式的Windows變種。這隻惡意程式操弄FortiOS的紀錄流程，最後刪除紀錄檔以躲避偵測及長期滲透。其他下載程式則破壞了Fortinet的入侵偵測（IPS）功能，使其無法監測流量中的違法活動。

該公司分析指出，駭客對FortiOS及底層硬體具有深度了解，這隻客製化程式的使用展現攻擊者的進階能力，包括對FortiOS多個部分逆向工程。

這些Windows樣本是在協調時區+8的機器上組譯，顯示可能落在澳洲、俄羅斯、中國、新加坡等其他國家。而組譯成的程式所使用自行簽發的憑證，也是在協調時間凌晨3點到8點製作。但由於駭客攻擊多半是在受害者的上班時間活動，將攻擊流程與一般流量混合以達到混淆的目的，因此Fortinet目前無法確切辨識出駭客身分。

Fortinet在發出公告前，已經釋出新版本修補該漏洞。該公司建議用戶應儘速更新到最新版本。