去年12月知名網絡安全廠商飛塔（Fortinet）披露，其FortiOS操作系統中的一個嚴重漏洞正在被外面的攻擊者大肆利用。本周，該公司在進一步分析后公布了有關那些攻擊者通過這個漏洞植入復雜惡意軟件的更多細節。

從現有信息來看，最初的零日攻擊具有很強的針對性，主要攻擊與政府相關的實體。然而，由于該漏洞被公之于眾已過去一個多月，所有客戶都應該盡快打上補丁，因為更多的攻擊者可能會開始利用它。

FortiOS SSL-VPN曝出遠程代碼執行漏洞

該漏洞被編號為CVE-2022-42475，存在于FortiOS的SSL-VPN功能中，可以被遠程攻擊者在無需驗證身份的情況下利用。一旦攻擊者成功利用了漏洞，隨后就可以執行任意代碼和命令。

飛塔按照CVSS評級將該漏洞評定為9.3（嚴重漏洞），并發布了FortiOS、FortiOS- 6k7K和FortiProxy（這家公司的安全Web網關產品）這幾大產品系列的更新版。FortiOS運行在該公司的FortiGate網絡安全防火墻及其他設備上。

對于無法立即部署更新版的客戶來說，一個變通辦法是完全禁用SSL-VPN，這對于依賴這項功能來支持遠程或混合工作環境的組織來說可能有難度。飛塔還發布了用于檢測企圖利用漏洞的IPS（入侵防御系統）特征碼，并發布了檢測其反病毒引擎中已知植入程序的規則。

客戶們還可以在其日志中搜索可能表明攻擊者企圖利用漏洞的以下條目：

Logdesc="Application crashed" and msg="[...]

application:sslvpnd,[...], Signal 11 received, Backtrace:

[...]”

植入程序作為FortiOS IPS引擎的木馬版本隱藏起來

攻擊者在飛塔分析的攻擊（https://www.fortinet.com/blog/psirt-blogs/analysis-of-fg-ir-22-398-fortios-heap-based-buffer-overflow-in-sslvpnd）中成功利用了這個漏洞，并將FortiOS IPS引擎的木馬版本復制到文件系統中。這表明攻擊者的手法非常老練，能夠利用逆向工程處理自定義的FortiOS組件。

IPS引擎的這個非法版本作為data/lib/libips.bak保存在文件系統上，它是合法文件/data/lib/libips.bak的拷貝，但已作了惡意修改。也就是說，非法版本導出了名為ips_so_patch_urldb和ips_so_query_interface的兩個合法函數（它們通常是合法libips的一部分），但是劫持它們來執行存儲在其他惡意組件中的代碼。

飛塔的分析師表示，如果libps.bak命名為data/lib目錄中的libips.so，惡意代碼將自動執行，因為FortiOS的組件會調用這些導出的函數。二進制文件不會試圖返回到干凈的IPS引擎代碼，因此IPS功能也受到了影響。

換句話說，一旦惡意版本被執行，合法的IPS功能就再也無法正常工作。被劫持的函數執行惡意代碼，然后惡意代碼對名為libiptcp.so、libgif.so、.sslvpnconfigbk和libipudp.so的多個文件執行讀寫操作。

分析師無法從他們分析的受攻擊設備中恢復所有這些文件，因此不知道完整的攻擊鏈。然而，他們確實發現了一個名為wxd.conf的文件，其內容類似開源反向代理的配置文件，開源逆向代理可用于將網絡地址轉換（NAT）后面的系統暴露在互聯網面前。

分析師分析從受攻擊設備捕獲的網絡數據包后發現，惡意軟件連接上兩臺由外部攻擊者控制的服務器，以下載有待執行的額外攻擊載荷和命令。其中一臺服務器仍在運行中，它有一個文件夾，其中含有專門為不同版本的FortiGate硬件構建的二進制文件。這讓研究人員得以分析他們認為攻擊者在系統上執行以操縱FortiOS中日志功能的的其他文件。

據研究人員聲稱：

惡意軟件對FortiOS的日志記錄進程稍加改動，以操縱日志從而逃避檢測。–/bin/miglogd & /bin/syslogd

它包括27款FortiGate型號和版本的偏移位和操作碼。惡意軟件打開進程的句柄，將數據注入其中。

版本從6.0.5到7.2.1。

型號有FG100F、FG101F、FG200D、FG200E、FG201F、FG240D、FG3H0E、FG5H0E、FG6H1E、FG800D、FGT5HD、FGT60F和FGT80F。

惡意軟件可以操縱日志文件。它查找elog文件，即FortiOS中的事件日志。在內存中解壓這類文件后，它搜索攻擊者指定的字符串，刪除它，然后重建日志。

惡意軟件還可以終止日志記錄進程。

研究人員還在VirusTotal在線掃描器上發現了一個Windows二進制文件的樣本，其代碼與在FortiOS上發現的Linux二進制文件代碼相似。Windows樣本是在屬于UTC+8時區的一臺機器上編譯而成的，該時區覆蓋澳大利亞、中國、俄羅斯、新加坡及其他東亞國家。攻擊者使用的自簽名證書也是在協調世界時（UTC）早上3點到8點之間創建的。研究人員表示，鑒于黑客不一定在辦公時間活動，他們常常在受害者的辦公時間活動，以幫助使用一般的網絡流量來混淆其活動以免被檢測出來，因此很難從中得出任何結論。

飛塔的安全公告附有許多妥協指標（IoC），包括文件路徑、文件散列、IP地址，甚至用于檢測網絡數據包捕獲內容中的這個植入程序惡意通信的特征碼。

參考及來源：

https://www.csoonline.com/article/3685670/attackers-deploy-sophisticated-linux-implant-on-fortinet-network-security-devices.html