超1.4万台Fortinet设备长期被黑客入侵，约1100台位于中国；

Fortinet发布警告称，攻击者利用部分已知漏洞获取了目标设备的只读权限，即使受害者更新系统修复漏洞，该权限依然保留，使得攻击者可以长期访问目标设备窃取敏感配置信息等；

Shadowserver基金会扫描发现，约14300台感染的Fortinet设备暴露在互联网上，其中美国、中国、日本数量位列前三。

安全内参4月15日消息，Shadowserver基金会的公开扫描结果显示，超过14000台Fortinet VPN设备持续处于黑客控制之下，黑客可能已潜伏多年，导致敏感数据长期面临风险。

网络安全硬件巨头Fortinet公司上周表示，受影响设备为具备SSL-VPN功能的FortiOS产品，这些设备曾在2023年及更早前的攻击中被暴露。尽管相关漏洞已打补丁，网络犯罪分子仍保有对部分曾被攻破的Fortinet文件的只读访问权限。

多国监管机构发布预警

全球多国监管机构警告称，黑客可通过被攻陷的设备访问敏感文件，包括凭证、配置文件以及其他关键资料。

Shadowserver基金会扫描发现，约有14300台感染的Fortinet设备暴露在互联网上，其中约1500台位于美国，其次是中国（1100台，其中内地500台，台湾600台）、日本（600台）、法国（500台）。

图：Shadowserver数据显示亚洲、欧洲、北美受影响最严重

此外，Shadowserver还发现有300多台受影响的FortiOS设备位于泰国、土耳其、以色列、意大利、加拿大、印度、西班牙、印度尼西亚和马来西亚。

美国网络安全和基础设施安全局（CISA）发布警告，呼吁网络管理员尽快将Fortinet设备升级至新版FortiOS，以清除恶意文件并防止再次遭到入侵。

CISA还建议管理员检查配置、重设可能已泄露的凭证，甚至在打补丁之前，先行禁用SSL-VPN功能。

新西兰国家网络安全中心警告称：“所有系统配置应视为可能已被篡改。”

法国国家网络安全响应中心（CERT-FR）指出，已有“大规模攻击活动”在法国导致大量设备被攻陷，相关攻击可追溯至2023年初。

与此同时，许多Fortinet管理员仍未修补另一个严重的身份验证绕过漏洞（CVE-2024-55591），该漏洞的CVSS评分高达9.8（满分10分），于2025年1月14日披露并修复。目前Shadowserver仍在追踪超过30000台受此漏洞影响的Fortinet设备。

攻击者如何做到长期潜伏？

Fortinet解释称，攻击者利用后渗透技术，借助此前已知的Fortinet漏洞（包括CVE-2024-21762、CVE-2023-27997和CVE-2022-42475）植入恶意文件。

他们创建了一个“符号链接，将用户文件系统与根文件系统连接在用于提供SSL-VPN语言文件的文件夹中”。因此，即便系统后来更新并修复了漏洞，该符号链接依然存在，成为进入系统敏感区域的捷径。

通过篡改用户文件系统，黑客还能够规避安全检测。

Fortinet发布的警告称：“即便客户设备已升级至修复原始漏洞的FortiOS版本，该符号链接仍可能残留，使得威胁行为者可以继续以只读方式访问设备文件系统中的内容，包括配置文件等。”

只有从未启用过SSL-VPN功能的系统可以被视为未受影响。

Fortinet表示，已通过内部遥测数据并与第三方机构协作开展扫描工作，以识别受影响设备，并已直接联系相关客户。

Fortinet警告称：“所有组织必须严肃对待设备更新问题。多国政府机构报告指出，国家支持的黑客团体正在针对所有厂商的产品发动攻击，尤其是那些已知却尚未修补的漏洞。”

华盟信安网络安全就业班火热招生中！！！

详情请点击下方链接：

【零基础高薪直通车】渗透测试工程师训练营

4月底5月初班期正在报名中！！！！！

警惕！黑客出租可完全控制 macOS 系统的恶意软件

网络安全领域出现了一种针对苹果用户的新型威胁。地下论坛上正在宣传一款名为"iNARi Loader"的macOS恶意软件即服务（MaaS）产品。

01

高级窃密软件威胁升级

这款高价窃密软件代表了macOS专用恶意软件的惊人进化，它结合了远程桌面功能和高级数据窃取技术。据网络安全新闻观察到的暗网帖子显示，iNARi Loader背后的威胁行为者提供的这款私有macOS窃密软件具有超越以往类似恶意软件的广泛功能集。
据报道，该恶意软件包含模块化功能，允许攻击者部署从VNC（虚拟网络计算）远程访问到复杂数据窃取程序的各种有效载荷。iNARi Loader最令人担忧的一个方面是其能够绕过密码提示，可能让攻击者无限制地访问敏感用户数据。这种技术与之前macOS信息窃取程序（如Atomic Stealer）使用的方法类似，后者通过伪造系统提示来获取用户凭证。
研究人员指出，这标志着针对macOS的威胁显著升级。此外，远程桌面功能的加入使攻击者能够前所未有地控制被入侵系统。

02

恶意软件租赁服务

根据网络安全新闻观察到的暗网广告，该恶意软件可通过多种途径传播，包括终端命令、磁盘映像文件(.dmg)、安装包(.pkg)或恶意应用程序。这种多管齐下的方法最大限度地提高了攻击者成功入侵目标系统的机会。
与许多需要额外混淆处理的竞品不同，iNARi据称不需要加密服务来逃避检测，这表明它具有类似其他近期macOS恶意软件家族的复杂内置规避能力。
威胁行为者建立了反映该恶意软件高级功能的分级定价模式：

• 标准版：每月5000美元
• 高级版：每月10000美元（包含远程桌面协议访问、技术支持和新模块优先使用权）

这些价格显著高于之前的macOS窃密软件如Atomic（2000-3000美元/月）和Banshee（3000美元/月），表明该软件要么具有卓越功能，要么针对资金充足的威胁行为者进行定向营销。

03

macOS威胁趋势持续恶化

iNARi Loader的出现延续了macOS系统遭受攻击增加的令人担忧的趋势。在整个2023年和2024年初，研究人员记录了多个新的信息窃取软件家族，包括MacStealer、Pureland、Atomic、RealStealer、MetaStealer和Banshee。
这些恶意软件家族通常针对敏感信息，包括钥匙串密码、浏览器数据、加密货币钱包和个人文件。远程桌面功能的加入代表了一次重大升级，使攻击者不仅能够窃取数据，还能持久控制被入侵系统。
用户应警惕可疑的下载提示，验证软件真实性，在敏感账户上启用双因素认证，并确保系统运行最新的安全更新。

文章来源 ：安全内参、freebuf

精彩推荐

乘风破浪|华盟信安线下网络安全就业班招生中！

【Web精英班·开班】HW加油站，快来充电！

‍

‍

始于猎艳，终于诈骗！带你了解“约炮”APP

‍