Специалисты The Shadowserver Foundation выявили масштабную кампанию по компрометации устройств Fortinet, затронувшую более 16 620 систем по всему миру. Злоумышленники использовали изощренную технику с применением символических ссылок для сохранения доступа к скомпрометированным устройствам даже после устранения первоначальных уязвимостей.
Механизм атаки и его последствия
Атакующие эксплуатировали различные уязвимости в устройствах FortiGate VPN, создавая символические ссылки в директории языковых файлов, которые указывали на корневую файловую систему устройств с активированным SSL-VPN. Это обеспечивало злоумышленникам постоянный доступ к системным файлам через общедоступную веб-панель SSL-VPN даже после обнаружения взлома и установки патчей безопасности.
Реакция Fortinet и меры противодействия
Компания Fortinet оперативно отреагировала на угрозу, выпустив обновленную сигнатуру для обнаружения и удаления вредоносных символических ссылок. Также было выпущено обновление прошивки, которое не только устраняет существующие вредоносные ссылки, но и предотвращает передачу неавторизованных файлов через встроенный веб-сервер.
Рекомендации по безопасности
Специалисты Fortinet настоятельно рекомендуют администраторам предпринять следующие меры:
— Немедленно установить последние обновления безопасности
— Сбросить все учетные данные на скомпрометированных устройствах
— Провести полный аудит системных конфигураций
— Следовать официальному руководству по очистке скомпрометированных хостов
Важно отметить, что данная проблема не связана с новыми уязвимостями, а является продолжением серии атак, начавшихся в 2023 году. Эксперты подчеркивают, что даже после очистки системы злоумышленники могли сохранить доступ к последним файлам конфигурации, включая учетные данные, что требует особой бдительности со стороны администраторов безопасности и полного обновления всех критических учетных данных в затронутых системах.
