Fortinet сообщает о способе, позволяющем злоумышленникам сохранять права чтения даже после устранения уязвимостей в FortiGate. Метод основан на использовании эксплойта через создание символической ссылки в папке языковых файлов SSL-VPN.
Злоумышленники пытаются связать файловую систему пользователя с корневой, что позволяет сохранять доступ к файлам конфигурации устройства. Символическая ссылка остаётся на устройстве даже после применения исправлений к первоначальным вектором атаки.
В данной эксплуатации используются исправленные уязвимости CVE-2022-42475, CVE-2023-27997 и CVE-2024-21762. Атака не нацелена на конкретные регионы или отрасли, что подтверждается уведомлениями Fortinet непосредственно до затронутых клиентов.
Обнаруженный эксплойт работает только на устройствах с включённой функцией SSL-VPN, исключая воздействие на другие системы. Исследование не определило точного источника активности, однако атака демонстрирует продуманную методику обхода стандартного восстановления.
Поставщики обновили версии FortiOS для минимизации угрозы. В версиях 7.4, 7.2, 7.0 и 6.4 символьная ссылка определяется как вредоносная и автоматически удаляется антивирусным движком, тогда как версии 7.6.2, 7.4.7, 7.2.11, 7.0.17 и 6.4.16 включают изменения в интерфейсе SSL-VPN, препятствующие повторному созданию ссылки.
Клиентам рекомендуется срочно обновить свои устройства FortiGate до упомянутых версий FortiOS, а также провести детальную проверку конфигураций и реализовать процедуры восстановления для устранения потенциального компрометационного воздействия.
Американское Агентство по кибербезопасности и безопасности инфраструктуры (CISA) настаивает на сбросе скомпрометированных учетных данных и рассматривает возможность временной деактивации SSL-VPN до получения обновлений. Команда по реагированию на компьютерные инциденты CERT-FR отметила, что подобные компрометации фиксируются с начала 2023 года.
Генеральный директор watchTowr, Бенджамин Харрис, подчёркивает, что атаки в реальном времени осуществляются быстрее, чем организации успевают применять обновления, позволяя злоумышленникам устанавливать дополнительные средства и бэкдоры для сохранения доступа даже после стандартных процедур восстановления.
Изображение носит иллюстративный характер
Злоумышленники пытаются связать файловую систему пользователя с корневой, что позволяет сохранять доступ к файлам конфигурации устройства. Символическая ссылка остаётся на устройстве даже после применения исправлений к первоначальным вектором атаки.
В данной эксплуатации используются исправленные уязвимости CVE-2022-42475, CVE-2023-27997 и CVE-2024-21762. Атака не нацелена на конкретные регионы или отрасли, что подтверждается уведомлениями Fortinet непосредственно до затронутых клиентов.
Обнаруженный эксплойт работает только на устройствах с включённой функцией SSL-VPN, исключая воздействие на другие системы. Исследование не определило точного источника активности, однако атака демонстрирует продуманную методику обхода стандартного восстановления.
Поставщики обновили версии FortiOS для минимизации угрозы. В версиях 7.4, 7.2, 7.0 и 6.4 символьная ссылка определяется как вредоносная и автоматически удаляется антивирусным движком, тогда как версии 7.6.2, 7.4.7, 7.2.11, 7.0.17 и 6.4.16 включают изменения в интерфейсе SSL-VPN, препятствующие повторному созданию ссылки.
Клиентам рекомендуется срочно обновить свои устройства FortiGate до упомянутых версий FortiOS, а также провести детальную проверку конфигураций и реализовать процедуры восстановления для устранения потенциального компрометационного воздействия.
Американское Агентство по кибербезопасности и безопасности инфраструктуры (CISA) настаивает на сбросе скомпрометированных учетных данных и рассматривает возможность временной деактивации SSL-VPN до получения обновлений. Команда по реагированию на компьютерные инциденты CERT-FR отметила, что подобные компрометации фиксируются с начала 2023 года.
Генеральный директор watchTowr, Бенджамин Харрис, подчёркивает, что атаки в реальном времени осуществляются быстрее, чем организации успевают применять обновления, позволяя злоумышленникам устанавливать дополнительные средства и бэкдоры для сохранения доступа даже после стандартных процедур восстановления.
