轉載「啟用SSL VPN的Fortinet防火牆用戶注意！已知漏洞出現攻擊行動」訊息

啟用SSL VPN的Fortinet防火牆用戶注意！已知漏洞出現攻擊行動

上週資安業者Fortinet指出，有人鎖定已啟用SSL VPN功能的防火牆設備而來，利用已知漏洞入侵，得逞後透過符號連結（Symbolic Link）建立能持續存取的管道，該公司已發布新版防火牆作業系統FortiOS，呼籲用戶儘速升級。

今年1月資安業者Arctic Wolf揭露攻擊行動Console Chaos，駭客鎖定Fortinet防火牆的零時差漏洞CVE-2024-55591而來，隔月Fortinet透露這起攻擊行動攻擊者搭配另一項身分驗證繞過漏洞CVE-2025-24472，然而近期出現攻擊者利用已知漏洞的情況。

4月10日，資安業者Fortinet發布警告，揭露他們近期發現鎖定該廠牌防火牆FortiGate已知漏洞而來的攻擊行動，攻擊者針對已啟用SSL VPN功能的防火牆設備而來，以便在唯讀存取FortiGate的狀態下，持續讀取受害FortiGate設備的檔案系統，而得以擷取系統組態資訊，這些遭到利用的漏洞，包含：CVE-2022-42475、CVE-2023-27997、CVE-2024-21762，CVSS風險介於9.2至9.5分。Fortinet在察覺此事後啟動PSIRT事件回應工作，開發緩解措施，並與受到影響的客戶合作來因應。該公司呼籲用戶，應更新防火牆作業系統FortiOS至7.6.2、7.4.7、7.2.11、7.0.17、6.4.16版因應這波攻擊。

 對於駭客利用上述的資安漏洞，Fortinet指出駭客的目的是建立唯讀的存取管道，駭客藉由受害防火牆尚未修補的漏洞，將使用者檔案系統（user filesystem，/usr資料夾）及根檔案系統（root filesystem，最上層的/資料夾）當中，用於處理SSL VPN語言檔案的資料夾進行符號連結（Symbolic Link），由於這種竄改手法發生在使用者檔案系統上，使得攻擊者能夠回避偵測。

 

【資安新聞-ithome】

啟用SSL VPN的Fortinet防火牆用戶注意！已知漏洞出現攻擊行動

詳細資訊請參考：https://www.ithome.com.tw/news/168399