Компания Fortinet предупреждает, что злоумышленники могут сохранять read-only доступ к взломанным устройствам FortiGate VPN даже после исправления исходной уязвимости.
Компания разослала своим клиентам письма с предупреждением о том, что их устройства FortiGate/FortiOS были скомпрометированы согласно данным телеметрии FortiGuard.
«Телеметрия FortiGuard показывает, что в связи с обнаружением вредоносного файла одно или более ваших устройств могло быть скомпрометировано. Эта проблема не связана с какой-либо новой уязвимостью. Файл был оставлен злоумышленником после эксплуатации предыдущих известных уязвимостей», — сообщается в письмах.
В компании указывают, что исходная компрометация устройства могла произойти с помощью старых уязвимостей, включая CVE-2022-42475, CVE-2023-27997 и CVE-2024-21762.
Как пояснили в Fortinet, когда злоумышленники взламывали системы с помощью старых уязвимостей, в предназначенной для языковых файлов папке они создавали символические ссылки на корневую файловую систему устройств с включенным SSL-VPN. В результате это позволяло хакерам сохранять read-only доступ к корневой файловой системе через публично доступную веб-панель SSL-VPN, даже если взлом был обнаружен, а уязвимости исправлены.
«Злоумышленники использовали известную уязвимость для получения read-only доступа к уязвимым устройствам FortiGate. Это достигалось путем создания символической ссылки, соединяющей файловую систему, относящуюся к пространству пользователя, и корневую файловую систему в папке языковых файлов для SSL-VPN. Так как модификация происходила в пользовательской файловой системе, злоумышленникам удавалось избежать обнаружения, — говорится в сообщении Fortinet. — Таким образом, даже если на клиентское устройство были установлены обновленные версии FortiOS, в которых были устранены исходные уязвимости, символическая ссылка могла сохраниться, позволяя злоумышленникам сохранить read-only доступ к файловой системе устройства, в том числе к конфигурациям».
Хотя в Fortinet не сообщили точные сроки проведения этих атак, французский CERT (CERT-FR) заявил, что эта техника атак применялась в рамках масштабной кампании, начавшейся еще в первой половине 2023 года.
Представители Fortinet рекомендовали клиентам немедленно обновить FortiOS до версий 7.6.2, 7.4.7, 7.2.11, 7.0.17, 6.4.16, чтобы удалить вредоносные файлы, которые использовались хакерами для сохранения доступа.
