疑似中國駭客攻擊Fortinet漏洞植入後門程式

安全廠商發現一個疑似中國的駭客組織濫用Fortinet SSL VPN的已知漏洞植入後門程式Boldmove。

Fortinet去年12月公告SSL VPN存在重大漏洞CVE-2022-42475，是出於FortiOS的sslvpnd模組的記憶體緩衝區溢位漏洞，成功濫用可讓未經驗證的使用者遠端癱瘓SSL VPN設備，或是執行任意程式碼。

上周Fortinet說明他們去年底發現到的一些Windows惡意程式的攻擊行動，會刪除紀錄檔以躲避偵測及長期滲透、有的則破壞入侵偵測（IPS）功能。這些樣本來自協調時區+8的機器上組譯，顯示可能落在澳洲、俄羅斯、中國、新加坡等其他國家，針對政府單位及相關組織所發動精準攻擊行動。

本周稍早安全廠商Mandiant也公布了針對CVE-2022-42475的零時差攻擊研究，基本上，是讓Fortinet未講明的資訊更為具體化。Mandiant將發現到的惡意程式稱為Boldmove。Boldmove是一隻以C撰寫的後門程式，針對Windows和Linux各有一種變種，專門設計讀取FortiGate防火牆的檔案。研究發現，Boldmove的Linux變種有一個寫死的C2 IP位址，也同時被Fortinet列為濫用行動的IP位址，判斷駭客已濫用CVE-2022-49475植入Boldmove。

該公司也判讀Windows變種至少在2021年已組譯出來。Mandiant點名Boldmove是中國國家駭客的攻擊行動，因為攻擊符合中國駭客的行徑，包括鎖定以防火牆、IPS/IDS等可由外部存取的裝置。

研究人員指出，開發濫用連網安全裝置漏洞的程式需要豐沛的組織資源，因此往往被用在十分重要，包括政府單位及國防部門的目標身上。值得一提的是，這類裝置之所以為中國駭客偏好，是因為可不需受害者互動攻擊者就能存取網路、控制運作時機、減低被偵測的機率。

更重要的是，這些裝置只有簡單配置和檢視紀錄檔的工具，並沒有簡單機制讓用戶檢視其中運作了什麼行程，也不允許安裝額外安全產品，像是端點偵測回應（Endpoint Detection and Response，EDR），且只有裝置製造商才能存取核心安全功能。

根據證據，Mandiant研判攻擊最早從2022年10月即開始，受害者包括歐洲政府單位和一家非洲代管服務供應商。不過由於研究人員尚未看到Boldmove廣泛使用，因此無法確定其用途為何。