技術支援
文件
登錄
聯繫我們
修補的Fortinet漏洞仍被中國駭客利用
奧班拉·奧佩耶米
實施期間: 2023年2月2 日 - TuxCare專家團隊
中國駭客被發現使用Fortinet的FortiOS軟體中最近發現的漏洞作為分發惡意軟體的零日漏洞。
CVE-2022-42475(CVSS 得分為 9.8)是一個緩衝區溢出漏洞,未經身份驗證的遠端攻擊者可利用該漏洞通過構建的請求執行代碼或命令。FortiOS SSL-VPN 版本 7.2.0 – 7.2.2、7.0.0 – 7.0.8、6.4.0 – 6.4.10、6.2.0 – 6.2.11 和 6.0.15 及更早版本,以及 FortiProxy SSL-VPN 版本 7.2.0 – 7.2.1 和 7.0.7 及更早版本都受到此缺陷的影響。
新的惡意軟體已被Mandiant識別為“BOLDMOVE”。它接著說,它發現了BOLDMOVE的Windows變體以及專門為在FortiGate防火牆上運行而設計的Linux變體。被認為是國家支援的駭客正在利用該漏洞來傳遞惡意軟體並訪問敏感數據。
BOLDMOVE 旨在執行系統調查,能夠從命令和控制 (C2) 伺服器接收命令,允許攻擊者執行檔操作、啟動遠端 shell 並通過受感染主機中繼流量。
“我們相信這是一系列針對面向互聯網設備的中國網络間諜行動中的最新一次,我們預計這種策略將繼續成為資源豐富的中國團體的首選入侵載體,”Mandiant在其網站上說。
“通過BOLDMOVE,攻擊者不僅開發了漏洞,還開發了惡意軟體,顯示了對系統,服務,日誌記錄和未記錄的專有格式的深入瞭解,”威脅情報公司表示。
Mandiant表示,它沒有直接觀察到正在利用的漏洞;但是,BOLDMOVE Linux 變體的樣本具有硬編碼的 C2 IP 位址,Fortinet 將其識別為參與利用,這意味著 CVE-2022-49475 被用來提供 BOLDMOVE。Mandiant還透露了除Linux版本之外的Windows版本。適用於 Windows 的 BOLDMOVE 似乎早在 2021 年就已編譯。但是,Mandiant尚未看到這種惡意軟體的運行情況,因此尚不清楚它是如何使用的。這篇文章包括對惡意軟體的深入分析。
據說用C編寫的惡意軟體有Windows和Linux兩種版本,後者能夠從Fortinet獨有的檔格式讀取數據。根據元數據分析,後門的 Windows 變體早在 2021 年就被編譯出來,儘管在野外沒有發現樣本。
這篇文章的來源包括 BleepingComputer上的一篇文章。
