黑客利用已修复的 Fortinet FortiGate 设备漏洞获取 Root 权限

Fortinet发现威胁攻击者使用了一种复杂的黑客后利用技术，即使在初始漏洞修复后仍能维持对FortiGate设备的利用未授权访问。

根据Fortinet最新调查报告  ，已修攻击者利用了三个已知漏洞（FG-IR-22-398、备漏FG-IR-23-097和FG-IR-24-015）入侵FortiGate设备。洞获这些漏洞对应的取Rt权CVE编号分别为：

CVE-2022-42475 ：与FG-IR-22-398关联CVE-2023-27997：与FG-IR-23-097关联CVE-2024-21762：可能与FG-IR-24-015相关但尚未确认

攻击技术分析

攻击者采用了一种新颖手法：在SSL-VPN语言文件目录中创建用户文件系统与根文件系统之间的符号链接
。模板下载这使得攻击者能够以只读方式访问设备配置文件等关键文件 ，黑客同时规避检测
。利用

更令人担忧的已修是，这种符号链接在设备更新修复原始漏洞后仍可能持续存在。备漏Fortinet通过内部遥测和第三方合作确认，洞获该攻击活动不受地域或行业限制 。取Rt权但从未启用SSL-VPN功能的高防服务器黑客客户不受此问题影响。

应急响应措施

Fortinet在发现该技术后立即启动产品安全事件响应团队(PSIRT)，利用采取了以下缓解措施 ：

发布AV/IPS特征库以检测和清除恶意符号链接修改FortiOS 7.6.2、已修7.4.7
、7.2.11、7.0.17和6.4.16版本，消除符号链接并加固SSL-VPN功能直接通知受影响客户 ，敦促其升级至最新版本
、检查配置，香港云服务器并将现有设置视为可能已遭入侵

Fortinet安全发言人Carl Windsor表示
："此事件反映了威胁攻击者不断演变的战术，凸显了严格网络安全卫生的重要性 。我们致力于通过主动解决方案和透明沟通帮助客户应对威胁。"

安全加固建议

根据Fortinet 2023年下半年全球威胁态势报告，攻击者平均在漏洞公开后4.76天内就会加以利用。为此  ，Fortinet建议所有客户
：

立即升级至已修复版本执行社区资源中列出的云计算恢复步骤启用最新安全功能 ，包括编译时加固 、虚拟补丁 、固件完整性验证等

美国网络安全和基础设施安全局(CISA)在4月11日的公告中进一步建议管理员：

升级至指定FortiOS版本以清除恶意文件检查设备配置并重置可能暴露的凭证在应用补丁前可临时禁用SSL-VPN功能

安全公司WatchTowr创始人报告称，在其客户群（包括关键基础设施组织）中已发现与Fortinet漏洞相关的后门部署。他呼吁业界重视Fortinet的服务器租用警报 ，并反思当前对关键系统高危漏洞的响应流程。

据美国国家标准与技术研究院(NIST)数据，2024年已记录超过4万个漏洞。Fortinet强调 ，保持警惕并及时更新是应对当前网络威胁的最佳防御。源码库