Более 16 000 устройств Fortinet, доступных через интернет, были скомпрометированы с помощью символических ссылок. Это позволяло злоумышленникам получить доступ только для чтения к конфиденциальным файлам на ранее взломанных устройствах.
Специалисты The Shadowserver Foundation сообщили изданию Bleeping Computer, что им удалось обнаружить 16 620 устройств, пострадавших от недавно обнаруженной проблемы.
Напомним, что недавно разработчики Fortinet предупредили клиентов о том, что злоумышленники могут сохранять read-only доступ к взломанным устройствам FortiGate VPN даже после исправления исходной уязвимости. Компания разослала своим клиентам письма с предупреждением о том, что их устройства FortiGate/FortiOS были скомпрометированы согласно данным телеметрии FortiGuard.
Как пояснили тогда в Fortinet, когда злоумышленники взламывали системы с помощью различных старых уязвимостей, в предназначенной для языковых файлов папке они создавали символические ссылки на корневую файловую систему устройств с включенным SSL-VPN. В результате это позволяло хакерам сохранять read-only доступ к корневой файловой системе через публично доступную веб-панель SSL-VPN, даже если взлом был обнаружен, а уязвимости исправлены.
В компании подчеркивали, что эта проблема не связана с эксплуатацией новых уязвимостей, а относится к атакам, начавшимся в 2023 и продолжавшимся в 2024 году.
В настоящее время компания Fortinet опубликовала обновленную сигнатуру, которая позволяет обнаружить и удалить вредоносные символические ссылки со скомпрометированных устройств. Кроме того, для обнаружения и удаления таких ссылок была обновлена прошивка устройств. Это обновление также предотвращает передачу неизвестных файлов и папок встроенным веб-сервером.
Разработчики предупреждают, что если устройство было скомпрометировано, возможно, что у злоумышленников сохранился доступ к последним файлам конфигурации, включая учетные данные.
В связи с этим все учетные данные рекомендуется сбросить, и администраторам следует выполнить другие шаги, описанные в руководстве по очистке скомпрометированных хостов.
