Fortinet VPN已修复的缓冲区溢出零日漏洞，可执行任意代码

在最近的网络安全观察中发现，Fort.NET公司上个月已解决的 FortIOS SSL-VPN 中的一个零日漏洞，被不知名的攻击者利用在针对政府和其他大型组织的攻击中。该漏洞利用的复杂性表明它是高级攻击者，而且它高度针对政府或与政府相关的目标。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，这些攻击需要利用的漏洞号为 CVE-2022-42475，这是一种基于堆的缓冲区溢出漏洞，可以使未经身份验证的远程攻击者通过特制请求执行任意代码。

安全研究人员在对感染链进行分析时发现，最终目标是部署一个为 FortiOS 修改的通用 linux 植入物，该植入物能够破坏 Fortinet 的IPS入侵防御系统模块，并与远程服务器建立连接以下载其他恶意软件并执行命令。

此外，作案手法揭示了使用混淆来阻止分析以及使用“高级功能”来操纵 FortiOS 日志记录和终止日志记录进程以保持未被发现。

攻击者还会搜索 FortiOS 中的事件日志 elog 文件，在内存中解压后，搜索攻击者指定的字符串，将其删除，然后重建日志，以此来隐藏攻击行为。

极牛攻防实验室研究人员表示，利用该漏洞需要深入了解 FortiOS 和底层硬件，并且攻击者拥有对 FortiOS 的不同部分进行逆向工程的能力。