今年1月资安业者Arctic Wolf揭露攻击行动Console Chaos,骇客锁定Fortinet防火墙的4月10日,资安业者Fortinet发布警告,揭露对于骇客利用上述的资安漏洞,Fortinet指出骇客的目的是建立唯读的存取管道,骇客借由受害防火墙尚未修补的漏洞,将使用者档案系统(user filesystem,/usr资料夹)及根档案系统(root filesystem,最上层的/资料夹)当中,用于处理SSL VPN语言档案的资料夹进行符号连结(Symbolic Link),由于这种窜改手法发生在使用者档案系统上,使得攻击者能够回避侦测。
值得留意的是,Fortinet也提及若是受害组织察觉异状,仅有修补前述已知漏洞,由于攻击者打造的符号连结很可能还保留在设备上,使得他们有机会借此持续存取受害的防火墙。Fortinet指出,只有曾经启用SSL VPN机制的防火墙才会受到影响,未曾启用这类机制的企业组织不会曝险。