Fortinet发现威胁攻击者使用了一种复杂的后利用技术，即使在初始漏洞修复后仍能维持对FortiGate设备的未授权访问。

根据Fortinet最新调查报告，攻击者利用了三个已知漏洞（FG-IR-22-398、FG-IR-23-097和FG-IR-24-015）入侵FortiGate设备。这些漏洞对应的CVE编号分别为：

• CVE-2022-42475：与FG-IR-22-398关联
• CVE-2023-27997：与FG-IR-23-097关联
• CVE-2024-21762：可能与FG-IR-24-015相关但尚未确认

攻击技术分析

攻击者采用了一种新颖手法：在SSL-VPN语言文件目录中创建用户文件系统与根文件系统之间的符号链接。这使得攻击者能够以只读方式访问设备配置文件等关键文件，同时规避检测。

更令人担忧的是，这种符号链接在设备更新修复原始漏洞后仍可能持续存在。Fortinet通过内部遥测和第三方合作确认，该攻击活动不受地域或行业限制。但从未启用SSL-VPN功能的客户不受此问题影响。

应急响应措施

Fortinet在发现该技术后立即启动产品安全事件响应团队(PSIRT)，采取了以下缓解措施：

• 发布AV/IPS特征库以检测和清除恶意符号链接
• 修改FortiOS 7.6.2、7.4.7、7.2.11、7.0.17和6.4.16版本，消除符号链接并加固SSL-VPN功能
• 直接通知受影响客户，敦促其升级至最新版本、检查配置，并将现有设置视为可能已遭入侵

Fortinet安全发言人Carl Windsor表示："此事件反映了威胁攻击者不断演变的战术，凸显了严格网络安全卫生的重要性。我们致力于通过主动解决方案和透明沟通帮助客户应对威胁。"

安全加固建议

根据Fortinet 2023年下半年全球威胁态势报告，攻击者平均在漏洞公开后4.76天内就会加以利用。为此，Fortinet建议所有客户：

• 立即升级至已修复版本
• 执行社区资源中列出的恢复步骤
• 启用最新安全功能，包括编译时加固、虚拟补丁、固件完整性验证等

美国网络安全和基础设施安全局(CISA)在4月11日的公告中进一步建议管理员：

• 升级至指定FortiOS版本以清除恶意文件
• 检查设备配置并重置可能暴露的凭证
• 在应用补丁前可临时禁用SSL-VPN功能

安全公司WatchTowr创始人报告称，在其客户群（包括关键基础设施组织）中已发现与Fortinet漏洞相关的后门部署。他呼吁业界重视Fortinet的警报，并反思当前对关键系统高危漏洞的响应流程。

据美国国家标准与技术研究院(NIST)数据，2024年已记录超过4万个漏洞。Fortinet强调，保持警惕并及时更新是应对当前网络威胁的最佳防御。

参考来源：

Hackers Actively Exploit Patched Fortinet FortiGate Devices to Gain Root Access Using Symbolic Link