根據近期外媒CRN 和BleepingComputer相繼報導荷蘭軍事情報和安全局(The Dutch Military Intelligence and Security Service-MIVD)發現自2月以來,中國駭客威脅組織在2022年和2023年的幾個月內利用了一個關鍵的FortiOS和FortiProxy遠端程式碼執行零日漏洞CVE-2022-42475,部署於全球至少20,000個易受攻擊的FortiGate防火牆上。
在該活動期間內,Fortinet 於2022年12月披露遠端程式碼執行(REC)漏洞之前的兩個月內,有14000台設備受到滲透並發現西方政府、國防工業國家和國際組織都是目標之一。該活動中利用的RCE漏洞編號為 CVE-2022-42475(CVSS風險評為9.8分),該漏洞與今年早些時候與中國的APT駭客組織Volt Typhoon的攻擊有關。美國相關機構二月份表示,已知Volt Typhoon透過利用包括Fortinet在內的多家供應商的網路設備來獲得相關關鍵基礎設施IT系統的初步存取權限。
美國機構當時表示,在美國機構分享的一個「已確認的入侵」案例中,Volt Typhoon「可能透過利用網路外圍FortiGate 300D防火牆中的CVE-2022-42475 漏洞獲得關鍵基礎設施IT系統的初始存取權限」。
MIVD表示:”攻擊中使用的Coathanger遠端存取木馬(RAT)惡意軟體也在用於非機密專案研發(R&D)的荷蘭國防部網路中被發現。儘管如此,由於網路分段,攻擊者仍被阻止轉移到其他系統。MIVD發現這種以前未知的惡意軟體可以在系統重啟和韌體升級後幸存下來,是由中國APT的駭客組織在針對荷蘭及其盟國的政治間諜活動中部署的。這使得駭客能夠永久存取系統,即使受害者安裝了FortiGate的安全更新,駭客仍可繼續保留這種存取權限。
Fortinet當時發佈了一篇博文,指出”組織需要制定強大的修補管理計畫,並遵循最佳實踐以確保基礎設施的安全”。Fortinet在2月向CRN提供的聲明中表示:”我們繼續督促客戶即時修補並持續監控其網路是否在異常活動,以幫助減輕網路風險。”
MIVD認為,中國駭客依然可以接觸到許多受害者,因為Coathanger木馬程式很難檢測,因為它會攔截系統呼叫以避免暴露其存在,而且由於它在韌體升級後仍然存在,因此很難將其刪除。
2024年以來資安產品的CVE漏洞越來越頻繁,尤其以存取閘道資安漏洞最嚴重。所以全方位的存取閘道資安政策(情資)部署,包含身份認證辨識保護、威脅監控、威脅情資搜尋與事件比對、資安強度評估、全面性視覺化資安監控,是強化存取閘道安全最重要的資安防禦措施。竣盟科技的Billows UCM-資通安全威脅偵測管理平台,就是建立存取閘道的資訊安全高強度以及企業完善的資安防護運營。