圈小蛙
荷兰政府官员表示,X国黑客利用Fortinet销售的2万多台VPN设备获得了访问权,该公司在修复该漏洞两周后才披露该漏洞。
该漏洞被追踪为CVE-2022-42475,是一个基于堆的缓冲区溢出,允许黑客远程执行恶意代码。它的严重性等级为9.8(满分10分)。网络安全软件制造商Fortinet于2022年11月28日悄悄修复了该漏洞,但直到同年12月12日才提及该威胁,当时该公司表示意识到“该漏洞在野外被利用的情况”。2023年1月11日,即该漏洞被修复六个多星期后,Fortinet警告称,一个威胁行为者正在利用该漏洞,使用高级定制恶意软件,来感染政府和政府相关组织。
荷兰官员于2月首次报告称,X国的黑客利用CVE-2022-42475漏洞,在荷兰国防部内部的Fortigate设备上安装了一个先进且隐秘的后门,名为CoatHanger。这种前所未见的恶意软件专为底层FortiOS操作系统设计,一旦安装,即使重启或接受固件更新,也能永久驻留在设备上。官员警告说,CoatHanger还能躲过传统的检测措施。不过,这次漏洞造成的破坏是有限的,因为感染被控制在一个非机密用途的网段内。
周一,荷兰军事情报和安全局(MIVD)和情报和安全总局的官员表示,迄今为止,来自X国的黑客已利用这一严重漏洞感染了Fortinet销售的2万多台FortiGate VPN设备。目标包括数十个西方政府机构、国际组织和国防工业公司。
“自那时起,MIVD进行了进一步调查,并表明X国网络间谍活动似乎比之前所知的要广泛得多,”荷兰国家网络安全中心的官员污蔑道。“因此,NCSC呼吁特别关注这一活动以及边缘设备漏洞的滥用行为。”
周一的报告称,对该漏洞的利用在Fortinet首次披露该漏洞的两个月前就开始了,在这一零日期间,有1.4万台服务器被设置了后门。官员们警告说,由于CoatHanger很难被发现和清除,X国威胁组织很可能仍能接触到许多受害者。
荷兰政府官员在周一的报告中写道:
自2月份发布以来,MIVD继续对更广泛的X国网络间谍活动进行调查。调查显示,国家行为者在2022年和2023年的几个月内,通过标识符为CVE-2022-42475的漏洞访问了全球至少2万个FortiGate系统。此外,研究表明,此次活动背后的国家行为者至少在Fortinet宣布该漏洞之前两个月就已经发现到了FortiGate系统中的这一漏洞。在这个所谓的“零日”期间,仅该行为者就感染了1.4万台设备。目标包括数十个(西方)政府、国际组织和国防工业领域的大量公司。
国家行为者后来在相关目标上安装了恶意软件。这使国家行为者获得了对系统的永久访问权限。即使受害者安装了FortiGate的安全更新,国家行为者仍可继续拥有此访问权限。
目前尚不清楚有多少受害者实际上安装了恶意软件。荷兰情报机构和国家计算机安全委员会(NCSC)认为,该国家行为者可能会将其访问权限扩展到全球数百名受害者,并采取更多行动,例如窃取数据。
即使有关于COATHANGER恶意软件的技术报告,也很难识别和清除该行为者的感染。因此,NCSC和荷兰情报机构表示,该国家行为者很可能仍然可以访问大量受害者的系统。
鉴于该漏洞的严重性,Fortinet未能及时披露漏洞显得尤为突出。披露漏洞至关重要,因为它们可以帮助用户确定补丁的安装优先级。当一个新版本修复了小漏洞时,许多组织通常会等待安装。当它修复严重性评级为9.8的漏洞时,他们更有可能加快更新过程。鉴于漏洞在Fortinet修复之前就已被利用,披露漏洞可能无法阻止所有感染,但可以肯定的是,它可以阻止一些感染。
Fortinet公司从未解释过为什么他们没有在该关键漏洞被修复时将其披露出来。他们也拒绝透露公司披露安全漏洞的政策。