FBI警告稱，至少從5月開始，威脅行為者就一直在利用FatPipe虛擬專用網絡（VPN）設備中的0day漏洞來破壞公司并訪問其內部網絡。

　　“截至2021年11月，FBI取證分析表明，FatPipe MPVPN設備軟件中的0day漏洞至少可以追溯到2021年5月，”該局在周二的警報（PDF）中表示。

　　本周修補的漏洞是在FatPipe的設備軟件中發(fā)現的。

　　根據警報，該漏洞允許高級持續(xù)威脅（APT）攻擊者利用設備固件中的文件上傳功能安裝具有root訪問權限的webshell，從而導致權限提升。

　　利用尚無CVE跟蹤號的漏洞，APT參與者能夠橫向傳播到受害者網絡中。FatPipe正在使用自己的標簽FPSA006跟蹤漏洞，該標簽包含補丁和周二發(fā)布的安全公告。

　　該漏洞影響最新版本10.1.2r60p93 和 10.2.2r44p1發(fā)布之前的所有FatPipe WARP、MPVPN和IPVPN設備軟件。

　　利用漏洞授予遠程攻擊者管理員權限

　　FatPipe解釋說，在受影響固件的Web管理界面中發(fā)現的前0day漏洞可能允許具有只讀權限的經過身份驗證的遠程攻擊者將其權限提升到受影響設備上的管理員級別。

　　FatPipe表示，該漏洞是由于對受影響設備上的某些HTTP請求缺乏輸入和驗證檢查機制造成的。

　　根據該公司的公告，“攻擊者可以通過向受影響的設備發(fā)送修改后的HTTP請求來利用此漏洞”?！奥┒纯赡茉试S攻擊者作為只讀用戶執(zhí)行功能，就像他們是管理用戶一樣?！?/p>

　　FBI的警報包括一份入侵指標（IOC）和YARA惡意軟件簽名列表，并要求組織在發(fā)現任何相關網絡活動時“立即采取行動”。

　　FBI敦促系統(tǒng)管理員立即升級他們的設備并遵循其他FatPipe安全建議，包括在不積極使用WAN接口（面向外部）時禁用UI和SSH訪問。

　　加入VPN和網絡設備制造商聯盟

　　這個消息意味著FatPipe加入了一個沒人愿意加入的俱樂部：VPN和網絡設備制造商聯盟，其系統(tǒng)已被網絡攻擊者利用。

　　現在已經到了政府覺得有必要介入的地步。9月，美國國家安全局（NSA）和網絡安全與基礎設施安全局（CISA）發(fā)布了VPN選擇和加固指南，對如何選擇和加固VPN作出建議，以防止民族國家APT將漏洞武器化，并防止CVE入侵受保護的網絡。

　　畢竟，不安全的VPN可能會帶來一團糟：只要問Colonial Pipeline（被REvil勒索軟件騙子用一個舊的VPN密碼破解了）或87,000（至少）的Fortinet客戶，他們的未修補SSL VPN憑據在9月份發(fā)布到了網上。

　　正如政府公告所解釋的那樣，利用與VPN相關的CVE可以使惡意行為者“竊取憑據、遠程執(zhí)行代碼、削弱加密流量的密碼學、劫持加密流量會話并從設備讀取敏感數據?！?/p>

　　如果成功，威脅行為者可以獲得進一步的惡意訪問，從而導致公司網絡大規(guī)模入侵。

　　最近的一個民族國家行為者攻擊易受攻擊VPN的例子出現在5月，當時Pulse Secure急于修復其Connect Secure VPN設備中的一個關鍵0day安全漏洞。該0day被一些APT團體所利用，他們利用它對美國國防、金融和政府目標以及歐洲的受害者發(fā)起網絡攻擊。