Дослідники з The Shadowserver Foundation виявили безпрецедентну за масштабами кампанію кібератак на пристрої Fortinet. Зловмисники застосували витончену техніку компрометації з використанням символічних посилань, що вразила понад 16 620 систем по всьому світу. Особливість атаки полягає в можливості збереження несанкціонованого доступу навіть після усунення первинних вразливостей.
Технічні особливості та механізм атаки
Атакуючі використали комбінацію вразливостей у пристроях FortiGate VPN, створюючи символічні посилання в каталогах мовних файлів. Ці посилання спрямовували на кореневу файлову систему пристроїв з активованим SSL-VPN, що дозволяло зловмисникам зберігати доступ до системних файлів через загальнодоступну веб-панель SSL-VPN. Особлива небезпека полягає в тому, що доступ зберігався навіть після виявлення компрометації та встановлення оновлень безпеки.
Заходи протидії від Fortinet
У відповідь на виявлену загрозу компанія Fortinet впровадила комплексні заходи захисту:
– Випуск оновленої сигнатури для виявлення та видалення шкідливих символічних посилань
– Розробка оновлення прошивки для блокування передачі неавторизованих файлів
– Впровадження механізмів запобігання створенню несанкціонованих символічних посилань
Рекомендації щодо захисту систем
Експерти з кібербезпеки наголошують на необхідності термінового впровадження наступних заходів:
– Негайне оновлення програмного забезпечення до найновіших версій
– Повне скидання та оновлення всіх облікових даних на потенційно скомпрометованих пристроях
– Проведення комплексного аудиту системних налаштувань
– Дотримання офіційних інструкцій Fortinet щодо очищення заражених систем
Важливо розуміти, що виявлена атака не пов’язана з новими вразливостями, а є продовженням серії кібератак, започаткованих у 2023 році. Навіть після очищення системи зловмисники можуть зберігати доступ до конфігураційних файлів та облікових даних. Це вимагає від адміністраторів особливої пильності та комплексного підходу до оновлення всіх критичних облікових даних у постраждалих системах. Регулярний моніторинг та своєчасне оновлення систем безпеки залишаються ключовими факторами захисту від подібних загроз.
