| 【弱點說明】事件通告:Fortinet針對FortiGate防火牆發出漏洞警告,建議請管理者儘速評估更新!
【影響範圍】
- FortiOS 7.6.2之前版本
- FortiOS 7.4.7之前版本
- FortiOS 7.2.11之前版本
- FortiOS 7.0.17之前版本
- FortiOS 6.4.16之前版本
【細節描述】
4月10日,資安業者Fortinet發布警告,揭露他們近期發現鎖定該廠牌防火牆FortiGate已知漏洞而來的攻擊行動,攻擊者針對已啟用SSL
VPN功能的防火牆設備而來,以便在唯讀存取FortiGate的狀態下,持續讀取受害FortiGate設備的檔案系統,而得以擷取系統組態資訊,這些遭到利用的漏洞,包含:CVE-2022-42475、CVE-2023-27997、CVE-2024-21762,CVSS風險介於9.2至9.5
分。Fortinet在察覺此事後啟動PSIRT事件回應工作,開發緩解措施,並與受到影響的客戶合作來因應。該公司呼籲用戶,應更新防火牆作業系統 FortiOS至7.6.2、7.4.7、7.2.11、7.0.17、6.4.16版因應這波攻擊。
對於駭客利用上述的資安漏洞,Fortinet指出駭客的目的是建立唯讀的存取管道,駭客藉由受害防火牆尚未修補的漏洞,將使用者檔案系統(user filesystem,/usr資料夾)及根檔案系統(root filesystem,最上層的/資料夾)當中,用於處理SSL VPN語言檔案的資料夾進行符號連結(Symbolic Link),由於這種竄改手法發生在使用者檔案系統上,使得攻擊者能夠回避偵測。
Fortinet也提及若是受害組織察覺異狀,僅有修補前述已知漏洞,由於攻擊者打造的符號連結很可能還保留在設備上,使得他們有機會藉此持續存取受害的防火牆。目前只有曾經啟用SSL VPN機制的防火牆才會受到影響,未曾啟用這類機制的企業組織不會曝險。
HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php
【建議措施】
Fortinet 官網建議受此問題影響的客戶,採取以下步驟。
1. 將所有設備升級到 7.6.2、7.4.7、7.2.11 和 7.0.17 或 6.4.16。
2. 查看檢查所有設備的配置。
3. 將所有配置視為可能受到損害,並按照以下建議的步驟進行恢復:
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Recommended-steps-to-execute-in-case-of-a/ta-p/230694 |