Компания Fortinet предупреждает, что злоумышленники могут сохранять read-only доступ к взломанным устройствам FortiGate VPN даже после исправления исходной уязвимости.
Компания разослала своим клиентам письма с предупреждением о том, что их устройства FortiGate/FortiOS были скомпрометированы согласно данным телеметрии FortiGuard.
В компании указывают, что исходная компрометация устройства могла произойти с помощью старых уязвимостей, включая CVE-2022-42475, CVE-2023-27997 и CVE-2024-21762.
Как в Fortinet, когда злоумышленники взламывали системы с помощью старых уязвимостей, в предназначенной для языковых файлов папке они создавали символические ссылки на корневую файловую систему устройств с включенным SSL-VPN. В результате это позволяло хакерам сохранять read-only доступ к корневой файловой системе через публично доступную веб-панель SSL-VPN, даже если взлом был обнаружен, а уязвимости исправлены.
«Злоумышленники использовали известную уязвимость для получения read-only доступа к уязвимым устройствам FortiGate. Это достигалось путем создания символической ссылки, соединяющей файловую систему, относящуюся к пространству пользователя, и корневую файловую систему в папке языковых файлов для SSL-VPN. Так как модификация происходила в пользовательской файловой системе, злоумышленникам удавалось избежать обнаружения, — говорится в сообщении Fortinet.
Хотя в Fortinet не сообщили точные сроки проведения этих атак, французский CERT (CERT-FR) , что эта техника атак применялась в рамках масштабной кампании, начавшейся еще в первой половине 2023 года.
Представители Fortinet рекомендовали клиентам немедленно обновить FortiOS до версий 7.6.2, 7.4.7, 7.2.11, 7.0.17, 6.4.16, чтобы удалить вредоносные файлы, которые использовались хакерами для сохранения доступа.
Компания разослала своим клиентам письма с предупреждением о том, что их устройства FortiGate/FortiOS были скомпрометированы согласно данным телеметрии FortiGuard.
В компании указывают, что исходная компрометация устройства могла произойти с помощью старых уязвимостей, включая CVE-2022-42475, CVE-2023-27997 и CVE-2024-21762.
Как в Fortinet, когда злоумышленники взламывали системы с помощью старых уязвимостей, в предназначенной для языковых файлов папке они создавали символические ссылки на корневую файловую систему устройств с включенным SSL-VPN. В результате это позволяло хакерам сохранять read-only доступ к корневой файловой системе через публично доступную веб-панель SSL-VPN, даже если взлом был обнаружен, а уязвимости исправлены.
«Злоумышленники использовали известную уязвимость для получения read-only доступа к уязвимым устройствам FortiGate. Это достигалось путем создания символической ссылки, соединяющей файловую систему, относящуюся к пространству пользователя, и корневую файловую систему в папке языковых файлов для SSL-VPN. Так как модификация происходила в пользовательской файловой системе, злоумышленникам удавалось избежать обнаружения, — говорится в сообщении Fortinet.
Хотя в Fortinet не сообщили точные сроки проведения этих атак, французский CERT (CERT-FR) , что эта техника атак применялась в рамках масштабной кампании, начавшейся еще в первой половине 2023 года.
Представители Fortinet рекомендовали клиентам немедленно обновить FortiOS до версий 7.6.2, 7.4.7, 7.2.11, 7.0.17, 6.4.16, чтобы удалить вредоносные файлы, которые использовались хакерами для сохранения доступа.
