CVE-2022-42475 漏洞

2022 年至 2023 年間，與中國有關的國家支持的威脅行為者利用已知的關鍵安全漏洞滲透了全球 20,000 個 Fortinet FortiGate 系統。此次違規行為所帶來的影響比先前所承認的更廣泛。

負責此操作的國家行為者至少在 Fortinet 披露漏洞之前兩個月就已經意識到 FortiGate 系統中的漏洞。在此期間（稱為「零日視窗」），攻擊者成功入侵了 14,000 台裝置。

根據荷蘭軍事情報與安全局（MIVD）和通用情報與安全局（AIVD）2024年初的聯合報告，中國駭客利用了FortiOS/FortiProxy遠端代碼執行關鍵漏洞CVE-2022-42475。在 2022 年和 2023 年的幾個月裡，攻擊者設法在易受攻擊的 Fortigate 網路安全設備上安裝惡意軟體。

攻擊者將衣架 RAT 部署到受感染的裝置上

在攻擊中發現的 Coathanger 遠端存取木馬 (RAT) 惡意軟體也在荷蘭國防部所屬的網路上偵測到，該網路專門用於非機密專案的研究和開發 (R&D)。幸運的是，由於網路分段，攻擊者無法滲透到其他系統。

這種先前未公開的惡意軟體菌株能夠在系統重啟和韌體升級後持續存在，並被中國國家支持的駭客組織用於針對荷蘭及其盟友的政治間諜活動。這使得國家行為者能夠持續存取受感染的系統。即使從 FortiGate 安裝了安全性更新，國家行為者仍保留此存取權限。

安裝惡意軟體的受害者的確切數量仍然未知。然而，研究人員推測，國家行為者可能會將其訪問範圍擴大到全球數百名受害者，從而實現數據盜竊等進一步行動。

網路犯罪分子可能仍然可以存取被破壞的設備

自2 月以來，有消息稱，一個中國威脅組織在2022 年至2023 年間，歷時數月，獲得了對全球20,000 多個FortiGate 系統的訪問權限，至少在Fortinet 披露CVE-2022-42475 漏洞之前兩個月。

MIVD 表明，中國駭客可能會接觸到眾多受害者，因為 Coathanger 惡意軟體善於透過攔截系統呼叫來逃避偵測，使其難以識別。此外，它能夠適應拆卸並在韌體升級後繼續存在。正如 2023 年 1 月所披露的那樣，CVE-2022-42475 被用作零日漏洞，主要針對政府組織和附屬實體。

這些攻擊與另一場中國駭客活動有著驚人的相似之處，該活動的重點是利用未修補的 SonicWall 安全行動存取 (SMA) 設備，使用旨在透過韌體升級持續存在的網路間諜惡意軟體。