概述
网络安全公司Fortinet最近发布了一则警告,称其VPN工具存在的新漏洞可能已在“有限的情况下”被攻击者利用。该漏洞被追踪为CVE-2023-27997,因Fortinet的SSL-VPN产品在政府机构中的广泛使用而引发了人们的关注。
漏洞详情
该漏洞允许黑客在受影响的系统上远程运行未经授权的代码或命令。Fortinet在上周发布的更新中修复了这一问题。根据Fortinet的说明,该漏洞的发现源于Lexfo安全漏洞研究人员Charles Fol和Dany Bach的负责任披露,同时公司的内部审计也发现了相同的漏洞。
Fortinet表示:“此次审计与第三方研究人员的负责任披露共同导致了当前固件版本中某些问题的识别和修复。”
当前状况
Fortinet的调查发现,CVE-2023-27997漏洞可能已在有限的情况下被利用,公司正在与客户密切合作以监测情况。Fortinet在一份声明中重申,他们一直在“主动与客户沟通”,并“强烈建议他们立即遵循提供的指导,通过使用提供的解决方法或升级来减轻漏洞影响”。
针对的目标
Fortinet指出,此次黑客活动“主要针对政府、制造业和关键基础设施”。公司还消除了有关该漏洞被中国国家赞助的黑客组织Volt Typhoon利用的担忧,该组织通常专注于间谍活动和信息收集。
微软威胁情报中心的Christopher Glyer在周日提出质疑,认为该漏洞是否在上个月曝光的Volt Typhoon针对关岛关键基础设施的袭击中被利用。
Fortinet在其博客中回应了这一理论,表示目前并未将此漏洞与Volt Typhoon活动关联,但“预计所有威胁行为者,包括Volt Typhoon活动背后的组织,都会继续利用未打补丁的漏洞。”
受影响的基础设施
《纽约时报》报道,中国黑客组织所攻陷的基础设施包括关岛的电信网络。关岛是美国在太平洋地区的一个领土,被国防部描述为“支持所有在印太地区执行任务和后勤的美国军队的战略中心”。
美国、澳大利亚和新西兰的网络安全机构在周一发布了关于该问题的警告,敦促组织立即应用补丁。网络安全和基础设施安全局在周二将该漏洞添加到其已利用漏洞目录中。
修复补丁
Fortinet表示,针对该问题的补丁已包含在以下FortiOS固件版本中:6.0.17、6.2.15、6.4.13、7.0.12和7.2.5。
行业趋势
Tenable的Satnam Narang告诉Recorded Future News,过去五年中,SSL VPN产品(如Citrix、Pulse Secure和Fortinet)中的漏洞一直是攻击的目标。
Narang指出:“这些漏洞不仅被勒索软件组织利用,也被与国家利益相关的威胁行为者特别针对Fortinet设备中的漏洞。SSL-VPN由于其面对互联网的特性,提供了对公司内网的访问,因此成为了诱人的目标。”
在疫情初期,远程工作成为趋势,这使得SSL-VPN更加流行。预认证漏洞对远程攻击者尤其有价值,因为它不需要攻击者已经拥有有效的凭证。
Narang警告称,一旦此漏洞的概念验证攻击被公开,防御者应该预期会有更广泛的扫描和对易受攻击资产的利用。
在选择VPN服务时,确保使用经过验证且安全的产品,以保护您的网络安全。
