Fortinet發現威脅攻擊者使用了一種復雜的后利用技術，即使在初始漏洞修復后仍能維持對FortiGate設備的未授權訪問。

根據Fortinet最新調查報告，攻擊者利用了三個已知漏洞（FG-IR-22-398、FG-IR-23-097和FG-IR-24-015）入侵FortiGate設備。這些漏洞對應的CVE編號分別為：

• CVE-2022-42475：與FG-IR-22-398關聯
• CVE-2023-27997：與FG-IR-23-097關聯
• CVE-2024-21762：可能與FG-IR-24-015相關但尚未確認

攻擊技術分析

攻擊者采用了一種新穎手法：在SSL-VPN語言文件目錄中創建用戶文件系統與根文件系統之間的符號鏈接。這使得攻擊者能夠以只讀方式訪問設備配置文件等關鍵文件，同時規避檢測。

更令人擔憂的是，這種符號鏈接在設備更新修復原始漏洞后仍可能持續存在。Fortinet通過內部遙測和第三方合作確認，該攻擊活動不受地域或行業限制。但從未啟用SSL-VPN功能的客戶不受此問題影響。

應急響應措施

Fortinet在發現該技術后立即啟動產品安全事件響應團隊(PSIRT)，采取了以下緩解措施：

• 發布AV/IPS特征庫以檢測和清除惡意符號鏈接
• 修改FortiOS 7.6.2、7.4.7、7.2.11、7.0.17和6.4.16版本，消除符號鏈接并加固SSL-VPN功能
• 直接通知受影響客戶，敦促其升級至最新版本、檢查配置，并將現有設置視為可能已遭入侵

Fortinet安全發言人Carl Windsor表示："此事件反映了威脅攻擊者不斷演變的戰術，凸顯了嚴格網絡安全衛生的重要性。我們致力于通過主動解決方案和透明溝通幫助客戶應對威脅。"

安全加固建議

根據Fortinet 2023年下半年全球威脅態勢報告，攻擊者平均在漏洞公開后4.76天內就會加以利用。為此，Fortinet建議所有客戶：

• 立即升級至已修復版本
• 執行社區資源中列出的恢復步驟
• 啟用最新安全功能，包括編譯時加固、虛擬補丁、固件完整性驗證等

美國網絡安全和基礎設施安全局(CISA)在4月11日的公告中進一步建議管理員：

• 升級至指定FortiOS版本以清除惡意文件
• 檢查設備配置并重置可能暴露的憑證
• 在應用補丁前可臨時禁用SSL-VPN功能

安全公司WatchTowr創始人報告稱，在其客戶群（包括關鍵基礎設施組織）中已發現與Fortinet漏洞相關的后門部署。他呼吁業界重視Fortinet的警報，并反思當前對關鍵系統高危漏洞的響應流程。

據美國國家標準與技術研究院(NIST)數據，2024年已記錄超過4萬個漏洞。Fortinet強調，保持警惕并及時更新是應對當前網絡威脅的最佳防御。