引言
最近,网络安全研究公司Volexity报告了一个严重的安全漏洞,涉及Fortinet的FortiClient Windows VPN客户端。该漏洞被中国网络威胁行为者利用,他们使用名为“DeepData”的定制后渗透工具来窃取用户凭据。本文将深入探讨这一漏洞的细节、攻击者的行为以及防范措施。
FortiClient的零日漏洞
FortiClient的零日漏洞允许攻击者在用户通过VPN设备验证后,从内存中转储凭据。这一漏洞的存在使得攻击者能够轻松获取用户的用户名和密码,从而进入企业网络。
漏洞发现与报告
Volexity的研究人员在2024年7月18日首次发现了这一漏洞,并立即向Fortinet报告。然而,截至目前,该问题仍未修复,且尚未分配CVE编号。Volexity在报告中解释道:
“Fortinet于2024年7月24日确认了该问题,但此时该问题尚未解决,Volexity尚未得知有分配的CVE编号。”
针对VPN凭据的攻击
这些攻击是由一个名为“BrazenBamboo”的中国黑客组织发起的,该组织以开发和部署针对Windows、macOS、iOS和Android系统的高级恶意软件而闻名。Volexity解释说,攻击者在其攻击中利用了多种恶意软件,包括LightSpy和DeepPost。
LightSpy和DeepPost恶意软件
- LightSpy:一种多平台间谍软件,用于数据收集、键盘记录、浏览器凭据窃取和通信监控。
- DeepPost:用于从被攻陷设备中窃取数据的恶意软件。
DeepData:后渗透工具
Volexity的报告重点关注DeepData,这是一个用于Windows的模块化后渗透工具,利用多个插件进行目标数据窃取。其最新版本中,DeepData包含一个FortiClient插件,利用FortiClient中的零日漏洞来提取凭据(用户名、密码)和VPN服务器信息。
DeepData的工作原理
DeepData通过定位和解密FortiClient进程内存中的JSON对象来获取凭据。这些凭据随后通过DeepPost被外泄到攻击者的服务器。
BrazenBamboo的攻击策略
通过获取VPN账户,BrazenBamboo能够初步进入企业网络,随后横向移动,访问敏感系统,并扩大其间谍活动。这种攻击手法显示了VPN安全性的重要性,尤其是在企业环境中。
漏洞的技术细节
Volexity发现DeepData利用FortiClient零日漏洞的时间是在2024年7月中旬,并指出这一漏洞与2016年的一个缺陷相似(同样没有CVE编号),当时硬编码的内存偏移暴露了凭据。然而,2024年的漏洞是新的且独特,只在最近的版本中有效,包括最新的v7.4.0版本,这表明可能与软件的最近更改有关。
漏洞影响
Volexity解释道,问题在于FortiClient未能清除其内存中的敏感信息,包括用户名、密码、VPN网关和端口,这些信息仍然以JSON对象的形式存在于内存中。
防范措施
在Fortinet确认该漏洞并发布修复补丁之前,建议限制VPN访问并监控异常登录活动。相关的攻击指标可以在Volexity的报告中找到。
结论
FortiClient的零日漏洞暴露了企业在使用VPN时可能面临的重大安全风险。企业应采取必要的预防措施,确保其网络安全不受威胁。同时,等待Fortinet的修复更新,以确保用户数据的安全。
注意:BleepingComputer已联系Fortinet,询问关于该零日漏洞的情况以及是否计划尽快发布安全更新,但尚未收到回复。
