在最近的网络安全观察中发现,Fort.NET公司上个月已解决的 FortIOS SSL-VPN 中的一个零日漏洞,被不知名的攻击者利用在针对政府和其他大型组织的攻击中。该漏洞利用的复杂性表明它是高级攻击者,而且它高度针对政府或与政府相关的目标。
根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,这些攻击需要利用的漏洞号为 CVE-2022-42475,这是一种基于堆的缓冲区溢出漏洞,可以使未经身份验证的远程攻击者通过特制请求执行任意代码。
安全研究人员在对感染链进行分析时发现,最终目标是部署一个为 FortiOS 修改的通用 linux 植入物,该植入物能够破坏 Fortinet 的IPS入侵防御系统模块,并与远程服务器建立连接以下载其他恶意软件并执行命令。
此外,作案手法揭示了使用混淆来阻止分析以及使用“高级功能”来操纵 FortiOS 日志记录和终止日志记录进程以保持未被发现。
攻击者还会搜索 FortiOS 中的事件日志 elog 文件,在内存中解压后,搜索攻击者指定的字符串,将其删除,然后重建日志,以此来隐藏攻击行为。
极牛攻防实验室研究人员表示,利用该漏洞需要深入了解 FortiOS 和底层硬件,并且攻击者拥有对 FortiOS 的不同部分进行逆向工程的能力。