FBI警告稱，至少從5月開始，威脅行為者就一直在利用FatPipe虛擬專用網路（VPN）裝置中的0day漏洞來破壞公司並訪問其內部網路。

“截至2021年11月，FBI取證分析表明，FatPipe MPVPN裝置軟體中的0day漏洞至少可以追溯到2021年5月，”該局在週二的警報（PDF）中表示。

本週修補的漏洞是在FatPipe的裝置軟體中發現的。

根據警報，該漏洞允許高階持續威脅（APT）攻擊者利用裝置韌體中的檔案上傳功能安裝具有root訪問許可權的webshell，從而導致許可權提升。

利用尚無CVE跟蹤號的漏洞，APT參與者能夠橫向傳播到受害者網路中。FatPipe正在使用自己的標籤FPSA006跟蹤漏洞，該標籤包含補丁和週二釋出的安全公告。

該漏洞影響最新版本10。1。2r60p93 和 10。2。2r44p1釋出之前的所有FatPipe WARP、MPVPN和IPVPN裝置軟體。

利用漏洞授予遠端攻擊者管理員許可權

FatPipe解釋說，在受影響韌體的Web管理介面中發現的前0day漏洞可能允許具有隻讀許可權的經過身份驗證的遠端攻擊者將其許可權提升到受影響裝置上的管理員級別。

FatPipe表示，該漏洞是由於對受影響裝置上的某些HTTP請求缺乏輸入和驗證檢查機制造成的。

根據該公司的公告，“攻擊者可以透過向受影響的裝置傳送修改後的HTTP請求來利用此漏洞”。“漏洞可能允許攻擊者作為只讀使用者執行功能，就像他們是管理使用者一樣。”

FBI的警報包括一份入侵指標（IOC）和YARA惡意軟體簽名列表，並要求組織在發現任何相關網路活動時“立即採取行動”。

FBI敦促系統管理員立即升級他們的裝置並遵循其他FatPipe安全建議，包括在不積極使用WAN介面（面向外部）時禁用UI和SSH訪問。

加入VPN和網路裝置製造商聯盟

這個訊息意味著FatPipe加入了一個沒人願意加入的俱樂部：VPN和網路裝置製造商聯盟，其系統已被網路攻擊者利用。

現在已經到了政府覺得有必要介入的地步。9月，美國國家安全域性（NSA）和網路安全與基礎設施安全域性（CISA）釋出了VPN選擇和加固指南，對如何選擇和加固VPN作出建議，以防止民族國家APT將漏洞武器化，並防止CVE入侵受保護的網路。

畢竟，不安全的VPN可能會帶來一團糟：只要問Colonial Pipeline（被REvil勒索軟體騙子用一箇舊的VPN密碼破解了）或87，000（至少）的Fortinet客戶，他們的未修補SSL VPN憑據在9月份釋出到了網上。

正如政府公告所解釋的那樣，利用與VPN相關的CVE可以使惡意行為者“竊取憑據、遠端執行程式碼、削弱加密流量的密碼學、劫持加密流量會話並從裝置讀取敏感資料。”

如果成功，威脅行為者可以獲得進一步的惡意訪問，從而導致公司網路大規模入侵。

最近的一個民族國家行為者攻擊易受攻擊VPN的例子出現在5月，當時Pulse Secure急於修復其Connect Secure VPN裝置中的一個關鍵0day安全漏洞。該0day被一些APT團體所利用，他們利用它對美國國防、金融和政府目標以及歐洲的受害者發起網路攻擊。

參考及來源：https：//threatpost。com/fbi-fatpipe-vpn-zero-day-exploited-apt/176453/