CVE-2022-42475 漏洞

2022 年至 2023 年间，与中国有关的受国家支持的威胁行为者利用已知的严重安全漏洞入侵了全球 20,000 个 Fortinet FortiGate 系统。此次入侵事件的影响比之前承认的更为广泛。

负责此次行动的国家行为者至少在 Fortinet 披露漏洞之前两个月就已经意识到了 FortiGate 系统中的漏洞。在此期间，即所谓的零日窗口，该行为者成功入侵了 14,000 台设备。

根据荷兰军事情报和安全局 (MIVD) 和通用情报和安全局 (AIVD) 在 2024 年初的联合报告，中国黑客利用了 CVE-2022-42475，这是一个严重的 FortiOS/FortiProxy 远程代码执行漏洞。在 2022 年和 2023 年的几个月里，攻击者设法在易受攻击的 Fortigate 网络安全设备上安装了恶意软件。

攻击者将 Coathanger RAT 部署到受感染的设备中

攻击中发现的 Coathanger 远程访问木马 (RAT) 恶意软件也在荷兰国防部的网络上被发现，该网络专门用于非机密项目的研发。幸运的是，由于网络分段，攻击者无法渗透到其他系统。

这种之前未披露的恶意软件能够在系统重启和固件升级后持续存在，中国政府资助的一个黑客组织在针对荷兰及其盟友的政治间谍活动中使用了这种恶意软件。这让国家行为者能够持续访问受感染的系统。即使安装了 FortiGate 的安全更新，国家行为者仍能保持这种访问权限。

被安装恶意软件的受害者的确切人数仍不得而知。不过，研究人员推测，国家行为者可能会将访问权限扩大到全球数百名受害者，从而采取进一步行动，例如窃取数据。

网络犯罪分子可能仍有权访问被入侵的设备

自 2 月份以来，有消息称一个中国威胁组织在 2022 年至 2023 年期间，跨度数月，获得了对全球 20,000 多个 FortiGate 系统的访问权，这比 Fortinet 披露 CVE-2022-42475 漏洞至少早了两个月。

MIVD 认为，中国黑客可能仍能接触到众多受害者，因为 Coathanger 恶意软件善于通过拦截系统调用来逃避检测，使其存在难以识别。此外，它不易被删除，并且在固件升级后仍能存活。2023 年 1 月披露，CVE-2022-42475 被用作零日漏洞，主要针对政府组织及其附属实体。

这些攻击与另一起中国黑客活动有着惊人的相似之处，后者的重点是利用未修补的 SonicWall 安全移动访问 (SMA) 设备，使用旨在通过固件升级持续存在的网络间谍恶意软件。