Компанія Fortinet оприлюднила критичне попередження щодо нової техніки кібератак на пристрої FortiGate VPN. Зловмисники розробили витончений метод збереження несанкціонованого доступу до скомпрометованих пристроїв навіть після встановлення оновлень безпеки, що створює серйозну загрозу для корпоративних мереж по всьому світу.
Технічний аналіз вектору атаки
Дослідження FortiGuard Labs показує, що атакуючі використовують ланцюжок вразливостей, включаючи CVE-2022-42475, CVE-2023-27997 та CVE-2024-21762. Особливість атаки полягає у створенні символічних посилань у каталозі мовних файлів SSL-VPN, які вказують на кореневу файлову систему. Це забезпечує постійний доступ для читання через веб-інтерфейс SSL-VPN, навіть після встановлення патчів безпеки.
Інноваційність методу компрометації
На відміну від традиційних підходів, нова техніка фокусується на модифікації користувацької файлової системи замість системних файлів. Це суттєво ускладнює виявлення шкідливої активності стандартними засобами моніторингу та дозволяє зловмисникам зберігати доступ до конфіденційних даних протягом тривалого часу.
Хронологія та масштаб кібератак
За даними французького центру CERT-FR, масштабна кампанія з використанням цієї техніки розпочалася в першій половині 2023 року. Аналіз показує систематичний характер атак, що вказує на високий рівень організації зловмисників та потенційну державну підтримку кампанії.
Рекомендації щодо захисту інфраструктури
Для протидії новій загрозі критично важливо оновити FortiOS до версій 7.6.2, 7.4.7, 7.2.11, 7.0.17 або 6.4.16. Ці оновлення містять механізми виявлення та видалення шкідливих символічних посилань. Додатково рекомендується впровадити багаторівневу систему моніторингу мережевої активності та регулярно проводити аудит безпеки пристроїв FortiGate VPN.
Виявлена вразливість підкреслює необхідність комплексного підходу до кібербезпеки корпоративної інфраструктури. Організаціям рекомендується не лише своєчасно встановлювати оновлення безпеки, але й впроваджувати передові практики захисту, включаючи сегментацію мережі, моніторинг аномальної активності та регулярне навчання персоналу з питань інформаційної безпеки.
