FBI警告稱，至少從5月開始，威脅行為者就一直在利用FatPipe虛擬專用網(wǎng)絡(luò)（VPN）設(shè)備中的0day漏洞來破壞公司并訪問其內(nèi)部網(wǎng)絡(luò)。

　　“截至2021年11月，F(xiàn)BI取證分析表明，F(xiàn)atPipe MPVPN設(shè)備軟件中的0day漏洞至少可以追溯到2021年5月，”該局在周二的警報（PDF）中表示。

　　本周修補的漏洞是在FatPipe的設(shè)備軟件中發(fā)現(xiàn)的。

　　根據(jù)警報，該漏洞允許高級持續(xù)威脅（APT）攻擊者利用設(shè)備固件中的文件上傳功能安裝具有root訪問權(quán)限的webshell，從而導(dǎo)致權(quán)限提升。

　　利用尚無CVE跟蹤號的漏洞，APT參與者能夠橫向傳播到受害者網(wǎng)絡(luò)中。FatPipe正在使用自己的標簽FPSA006跟蹤漏洞，該標簽包含補丁和周二發(fā)布的安全公告。

　　該漏洞影響最新版本10.1.2r60p93 和 10.2.2r44p1發(fā)布之前的所有FatPipe WARP、MPVPN和IPVPN設(shè)備軟件。

　　利用漏洞授予遠程攻擊者管理員權(quán)限

　　FatPipe解釋說，在受影響固件的Web管理界面中發(fā)現(xiàn)的前0day漏洞可能允許具有只讀權(quán)限的經(jīng)過身份驗證的遠程攻擊者將其權(quán)限提升到受影響設(shè)備上的管理員級別。

　　FatPipe表示，該漏洞是由于對受影響設(shè)備上的某些HTTP請求缺乏輸入和驗證檢查機制造成的。

　　根據(jù)該公司的公告，“攻擊者可以通過向受影響的設(shè)備發(fā)送修改后的HTTP請求來利用此漏洞”?！奥┒纯赡茉试S攻擊者作為只讀用戶執(zhí)行功能，就像他們是管理用戶一樣?！?/p>

　　FBI的警報包括一份入侵指標（IOC）和YARA惡意軟件簽名列表，并要求組織在發(fā)現(xiàn)任何相關(guān)網(wǎng)絡(luò)活動時“立即采取行動”。

　　FBI敦促系統(tǒng)管理員立即升級他們的設(shè)備并遵循其他FatPipe安全建議，包括在不積極使用WAN接口（面向外部）時禁用UI和SSH訪問。

　　加入VPN和網(wǎng)絡(luò)設(shè)備制造商聯(lián)盟

　　這個消息意味著FatPipe加入了一個沒人愿意加入的俱樂部：VPN和網(wǎng)絡(luò)設(shè)備制造商聯(lián)盟，其系統(tǒng)已被網(wǎng)絡(luò)攻擊者利用。

　　現(xiàn)在已經(jīng)到了政府覺得有必要介入的地步。9月，美國國家安全局（NSA）和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）發(fā)布了VPN選擇和加固指南，對如何選擇和加固VPN作出建議，以防止民族國家APT將漏洞武器化，并防止CVE入侵受保護的網(wǎng)絡(luò)。

　　畢竟，不安全的VPN可能會帶來一團糟：只要問Colonial Pipeline（被REvil勒索軟件騙子用一個舊的VPN密碼破解了）或87,000（至少）的Fortinet客戶，他們的未修補SSL VPN憑據(jù)在9月份發(fā)布到了網(wǎng)上。

　　正如政府公告所解釋的那樣，利用與VPN相關(guān)的CVE可以使惡意行為者“竊取憑據(jù)、遠程執(zhí)行代碼、削弱加密流量的密碼學(xué)、劫持加密流量會話并從設(shè)備讀取敏感數(shù)據(jù)?！?/p>

　　如果成功，威脅行為者可以獲得進一步的惡意訪問，從而導(dǎo)致公司網(wǎng)絡(luò)大規(guī)模入侵。

　　最近的一個民族國家行為者攻擊易受攻擊VPN的例子出現(xiàn)在5月，當時Pulse Secure急于修復(fù)其Connect Secure VPN設(shè)備中的一個關(guān)鍵0day安全漏洞。該0day被一些APT團體所利用，他們利用它對美國國防、金融和政府目標以及歐洲的受害者發(fā)起網(wǎng)絡(luò)攻擊。