Компания Fortinet выявила серьезную проблему безопасности, связанную с устройствами FortiGate VPN. Эксперты обнаружили, что злоумышленники используют изощренную технику для сохранения доступа к скомпрометированным устройствам даже после установки патчей безопасности. Данная ситуация требует немедленного внимания администраторов безопасности и принятия соответствующих мер.
Механизм атаки и технические детали
Согласно данным телеметрии FortiGuard, атакующие используют комбинацию известных уязвимостей (CVE-2022-42475, CVE-2023-27997 и CVE-2024-21762) для первоначального проникновения в систему. После получения доступа они создают символические ссылки в директории языковых файлов SSL-VPN, которые указывают на корневую файловую систему устройства. Это обеспечивает постоянный read-only доступ через публичную веб-панель SSL-VPN.
Особенности персистентного доступа
Уникальность данной техники заключается в том, что злоумышленники модифицируют пользовательскую файловую систему, а не системные файлы. Это затрудняет обнаружение вредоносной активности и позволяет сохранять доступ даже после установки обновлений безопасности. Атакующие получают возможность просматривать конфигурации и системные файлы устройства.
Масштаб и временные рамки атак
По информации французского CERT (CERT-FR), массовые атаки с использованием данной техники начались в первой половине 2023 года. Масштаб кампании указывает на серьезность угрозы и необходимость принятия срочных мер по защите инфраструктуры.
Рекомендации по защите
Для устранения угрозы Fortinet настоятельно рекомендует обновить FortiOS до следующих версий: 7.6.2, 7.4.7, 7.2.11, 7.0.17 или 6.4.16. Эти обновления содержат механизмы для удаления вредоносных файлов и символических ссылок, используемых злоумышленниками. Администраторам также рекомендуется провести полный аудит безопасности своих устройств FortiGate VPN.
Данный инцидент подчеркивает важность своевременного обновления систем безопасности и необходимость постоянного мониторинга сетевой инфраструктуры. Организациям следует внедрить комплексный подход к кибербезопасности, включающий регулярные проверки на наличие несанкционированного доступа и аномальной активности в системах.
