作为推动网络安全领域发展的核心力量，Fortinet始终处于行业前列，积极拥抱并大力推广网络安全领域的最佳实践。我们致力于成为品牌责任与创新双驱动的产品开发和漏洞披露领域的标杆，持续践行负责任的透明度原则，恪守严格的披露规范，并严格遵循国际及行业公认的标准。Fortinet持续与业界携手共进，致力于研发和实施更强有力的实践准则与标准，以惠及我们的广大用户。为此，我们持续开展威胁研究，为用户提供自动化升级功能，量身定制网络安全培训与教育，并就最佳实践和网络安全防护进行主动和负责任的沟通与交流。

　　近期的安全事件持续引发关注，根据Fortinet调查发现，威胁行为者正积极利用已知漏洞并采用一种新型的后渗透攻击（Post exploitation）技术发起攻击。

　　在本次威胁调查中，我们观察到攻击者利用已知但客户未采取修补措施的漏洞，如FG-IR-22398、FG-IR-23-097、FG-IR-24-015（这些漏洞Fortinet已经即时推出了修补措施）非法访问Fortinet设备。尽管威胁行为者瞄准并利用已知且尚未修复的漏洞实施攻击的手段并不新奇，且此前已剖析过相关案例，但此次攻击的特殊性在于，攻击者通过新型权限驻留技术，在初始入侵媒介被阻断的情况下，仍能基于FortiGate设备未修复的漏洞维持持久化只读访问权限。面对这一紧急情况，我们迅速启动了PSIRT响应机制，制定了有效的缓解措施，并及时与受影响用户进行沟通。目前，我们正积极与这些用户密切协作，确保他们能够及时采取一切必要措施，彻底根除这一安全隐患。

　　Fortinet始终坚守对客户安全的不变承诺，秉持负责任、高透明度的企业文化，并致力于以这一目标共享信息。

　　威胁行为者利用已知漏洞，基于FortiGate设备未修复漏洞非法获取只读访问权限。具体而言，攻击者在为SSL-VPN服务提供的语言文件的特定文件夹内，创建了一个符号链接（Symbolic Link），将用户文件系统与根文件系统进行关联，由于这一关键篡改发生在用户文件系统中，因此成功躲避了系统的安全检测。然而，即便用户设备已升级至已修复原始漏洞的新版本FortiOS，这个符号链接仍有可能被遗留，为攻击者保留了对设备系统文件（可能涵盖重要的配置文件等）的只读访问权限。

　　作为威胁调查环节的重要组成部分，Fortinet使用内部遥测并与第三方组织通力合作执行全面威胁扫描，精准锁定所有受影响设备。调查数据表明，此次攻击活动并非针对特定地区或行业。

　　为了有效应对这一事件，我们迅速采取了一系列缓解措施，并充分考虑到了用户在网络安全卫生方面存在的差异以及可能遇到的各种挑战。

　　创建了专门的AV/IPS（防病毒/入侵防御系统）签名，精准检测并清除受影响设备中被恶意植入的符号链接，切断潜在的安全威胁xp系统连接vpn错误800。

　　对最新版本进行了优化，进行智能检测并自动删除上述符号链接，并确保SSL-VPN服务仅提供经严格验证的正式文件。

　　主动向用户通报了相关情况，并敦促他们及时更新设备以消除安全隐患。同时，我们在沟通过程中仔细权衡信息的传递方式，以防止进一步的意外信息泄露，充分兑现了我们对于负责任透明度的坚定承诺。

　　创建了专门的AV/IPS（防病毒/入侵防御系统）签名，精准检测并清除受影响设备中被恶意植入的符号链接，切断潜在的安全威胁。

　　对最新版本进行了优化，进行智能检测并自动删除上述符号链接，并确保SSL-VPN服务仅提供经严格验证的正式文件。

　　主动向用户通报了相关情况，并敦促他们及时更新设备以消除安全隐患。同时，我们在沟通过程中仔细权衡信息的传递方式，以防止进一步的意外信息泄露，充分兑现了我们对于负责任透明度的坚定承诺。

　　FortiOS 7.4、7.2、7.0、6.4：防病毒/入侵防御系统（AV/IPS）引擎已将该符号链接标记为恶意链接，因此，若引擎已获许可并启用，该链接将被自动删除。

　　FortiOS 7.4、7.2、7.0、6.4：防病毒/入侵防御系统（AV/IPS）引擎已将该符号链接标记为恶意链接，因此，若引擎已获许可并启用，该链接将被自动删除。

　　对于所有组织机构而言，确保设备始终保持最新状态至关重要。众多政府组织发布的报告纷纷指出，一些政治性黑客团体正将各大供应商视为攻击目标，且经常利用已知但尚未修复的漏洞发动攻击。综上所述，针对任何已知的漏洞，最为有效的防御手段就是严格遵循良好的网络安全防护实践，其中尤为关键的一项举措是及时对设备进行升级更新。

　　据FortiGuard Labs（Fortinet全球威胁研究与响应实验室）发布的《2023下半年全球威胁态势研究报告》显示，新漏洞经公开披露后，平均攻击发起时间为4.76天。面对当前严峻的网络安全形势，供应商与用户均扮演着不可或缺的关键角色。供应商需承担自身责任，在产品开发的每一个阶段均融入严格的安全审查机制，且始终致力于进行负责任、高透明度的漏洞披露工作。据NIST提供的数据显示，2024年漏洞爆发式增长，新增了40000+条漏洞，用户积极遵循严格的漏洞修复方案以降低漏洞利用风险同样至关重要。

　　对于此次事件，我们已直接与受影响客户进行了密切沟通，建议他们根据我们提供的遥测数据采取相应的修复措施。但无论如何，我们都强烈建议所有用户尽快升级至我们推荐的上述版本之一，以确保系统安全。

　　同时，Fortinet还整合了多项优化措施，旨在进一步增强安全功能，有效应对关键的客户挑战。在升级到最新版本后，用户即可利用这些新增的安全特性，这些特性包括但不限于：

　　增加编译时强化措施：提高产品在编译阶段的安全性，为攻击者设置更高的攻击门槛，增强产品的整体防护能力。

　　实施虚拟补丁：在正式补丁发布之前，通过虚拟补丁技术暂行缓解安全问题，确保系统在补丁部署前能够保持一定的安全水平。

　　在硬件（BIOS）中实现固件完整性验证：在BIOS层面引入固件完整性验证机制，确保硬件固件未被篡改，维护系统的安全性和稳定性。

　　引入完整性度量架构（IMA）/文件系统完整性检查：通过这两项技术对系统文件和关键组件进行完整性验证，及时发现并防止恶意篡改。

　　引入自动更新功能：通过自动更新机制，无需管理员手动干预即可无缝修复设备，快速响应漏洞修复，提高系统的安全防护能力。

　　增加编译时强化措施：提高产品在编译阶段的安全性，为攻击者设置更高的攻击门槛，增强产品的整体防护能力。

　　实施虚拟补丁：在正式补丁发布之前，通过虚拟补丁技术暂行缓解安全问题，确保系统在补丁部署前能够保持一定的安全水平。

　　在硬件（BIOS）中实现固件完整性验证：在BIOS层面引入固件完整性验证机制，确保硬件固件未被篡改，维护系统的安全性和稳定性。

　　引入完整性度量架构（IMA）/文件系统完整性检查：通过这两项技术对系统文件和关键组件进行完整性验证，及时发现并防止恶意篡改。

　　引入自动更新功能：通过自动更新机制，无需管理员手动干预即可无缝修复设备，快速响应漏洞修复，提高系统的安全防护能力。

　　Fortinet一如既往地鼓励广大用户充分利用FortiOS最佳实践资源，包括系统强化指南，以及帮助用户完成自动化升级过程的各项功能，例如不间断集群升级、亚秒级故障切换、故障切换保护、自动恢复配置/配置修订以及自动或按计划的补丁升级。