FBI对被积极利用的FatPipe VPN零日漏洞发布闪电警报

美国联邦调查局（FBI）透露，一名身份不明的威胁演员至少在2021年5月以来一直在开发FabPube MPVPN网络设备中的一个先前未知的弱点，以获得初始立足点，并维持对脆弱网络的持续访问。使其成为最新加入思科、Fortinet、Citrix和Pulse Secure等系统在野外被利用的公司。

该机构在本周发布的一份警报中表示：“该漏洞允许APT参与者访问一个不受限制的文件上传功能，从而删除一个具有root访问权限的网络外壳，以进行攻击活动，从而导致权限提升和潜在的后续活动。”。“然后，利用该漏洞作为APT参与者进入其他基础设施的起点。”

换句话说，零日漏洞使远程攻击者能够将文件上传到受影响设备上文件系统的任何位置。该安全漏洞会影响运行最新版本10.1.2r60p93和10.2.2r44p1之前软件的FatPipe WARP、MPVPN和IPVPN路由器群集和VPN负载平衡设备的web管理界面。

FBI在其flash警报中指出，威胁行为人利用网络外壳横向移动，并通过设置恶意SSH服务攻击额外的美国基础设施，随后采取了一系列步骤，旨在隐藏入侵并保护其漏洞，直到再次需要。

FatPipe在一份独立公告（FPSA006）中表示，该漏洞源于缺乏针对特定HTTP请求的输入验证机制，从而使攻击者能够通过向受影响设备发送精心编制的HTTP请求来利用该问题。虽然目前还没有解决该漏洞的方法，但该公司表示，可以通过禁用WAN接口上的UI和SSH访问，或配置访问列表，只允许从可信来源访问，来缓解该漏洞。