APT组织利用FatPipe VPN中的0 Day漏洞长达六个月

FBI警告称，至少从5月开始，威胁行为者就一直在利用FatPipe虚拟专用网络(VPN)设备中的0day漏洞来破坏公司并访问其内部网络。

“截至2021年11月，FBI取证分析表明，FatPipe MPVPN设备软件中的0day漏洞至少可以追溯到2021年5月，”该局在周二的警报(PDF)中表示。

本周修补的漏洞是在FatPipe的设备软件中发现的。

根据警报，该漏洞允许高级持续威胁(APT)攻击者利用设备固件中的文件上传功能安装具有root访问权限的webshell，从而导致权限提升。

利用尚无CVE跟踪号的漏洞，APT参与者能够横向传播到受害者网络中。FatPipe正在使用自己的标签FPSA006跟踪漏洞，该标签包含补丁和周二发布的安全公告。

该漏洞影响最新版本10.1.2r60p93 和 10.2.2r44p1发布之前的所有FatPipe WARP、MPVPN和IPVPN设备软件。

 利用漏洞授予远程攻击者管理员权限

FatPipe解释说，在受影响固件的Web管理界面中发现的前0day漏洞可能允许具有只读权限的经过身份验证的远程攻击者将其权限提升到受影响设备上的管理员级别。

FatPipe表示，该漏洞是由于对受影响设备上的某些HTTP请求缺乏输入和验证检查机制造成的。

根据该公司的公告，“攻击者可以通过向受影响的设备发送修改后的HTTP请求来利用此漏洞”。“漏洞可能允许攻击者作为只读用户执行功能，就像他们是管理用户一样。”

FBI的警报包括一份入侵指标（IOC）和YARA恶意软件签名列表，并要求组织在发现任何相关网络活动时“立即采取行动”。

FBI敦促系统管理员立即升级他们的设备并遵循其他FatPipe安全建议，包括在不积极使用WAN接口（面向外部）时禁用UI和SSH访问。

 加入VPN和网络设备制造商联盟

这个消息意味着FatPipe加入了一个没人愿意加入的俱乐部：VPN和网络设备制造商联盟，其系统已被网络攻击者利用。

现在已经到了政府觉得有必要介入的地步。9月，美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)发布了VPN选择和加固指南，对如何选择和加固VPN作出建议，以防止民族国家APT将漏洞武器化，并防止CVE入侵受保护的网络。

毕竟，不安全的VPN可能会带来一团糟：只要问Colonial Pipeline(被REvil勒索软件骗子用一个旧的VPN密码破解了)或87,000(至少)的Fortinet客户，他们的未修补SSL VPN凭据在9月份发布到了网上。

正如政府公告所解释的那样，利用与VPN相关的CVE可以使恶意行为者“窃取凭据、远程执行代码、削弱加密流量的密码学、劫持加密流量会话并从设备读取敏感数据。”

如果成功，威胁行为者可以获得进一步的恶意访问，从而导致公司网络大规模入侵。

最近的一个民族国家行为者攻击易受攻击VPN的例子出现在5月，当时Pulse Secure急于修复其Connect Secure VPN设备中的一个关键0day安全漏洞。该0day被一些APT团体所利用，他们利用它对美国国防、金融和政府目标以及欧洲的受害者发起网络攻击。

参考及来源：

https://threatpost.com/fbi-fatpipe-vpn-zero-day-exploited-apt/176453/