Hackerii au compromis aproape 100 de dispozitive FortiGate din România și au folosit o metodă de persistență bazată pe legături simbolice (symlink) pentru acces la fișiere sensibile, chiar și după aplicarea actualizărilor de securitate.
La nivel global au fost identificate peste 17,000 de dispozitive compromise, aproape 4,000 fiind localizate în Europa.
FortiGate Next-Generation Firewall este o soluție de securitate pentru rețea, concepută să protejeze atât datele, cât și dispozitivele.
Fortinet a dezvăluit săptămâna trecută o nouă metodă de persistență folosită în atacuri ce au exploatat vulnerabilități din 2023 și 2024 ce afectează dispozitivele ce rulează FortiOS.
Deși Fortinet a adresat problemele de securitate, atacatorii au profitat pe sistemele vizate de lipsa actualizărilor și au exploatat vulnerabilitățile critice CVE-2022-42475, CVE-2023-27997 și CVE-2024-21762 pentru a obține acces inițial.
Symlink-urile ca mecanism de persistență
După compromiterea dispozitivelor FortiOS, atacatorul a creat în directorul cu fișiere pentru limbă un link simbolic către rootfs (sistemul de fișiere root) – cel care permite accesul la toate directoarele prezente pe dispozitiv.
Legăturile simbolice, sau symlinks (symbolic links), sunt referințe care indică spre un fișier sau director, permițând accesul la resurse fără a le copia.
Modificarea făcută de atacator nu a fost detectată pentru că a avut loc în sistemul de fișiere al utilizatorului.
Mai mult decât atât, legăturile simbolice au persistat chiar și în cazul instalării actualizărilor pentru FortiOS care adresează vulnerabilitățile folosite în atac.
În acest fel, atacatorii au reușit să mențină acces read-only pentru fișierele de pe dispozitiv, inclusiv cele de configurare care conțin detalii sensibile.
Acest mecanism de persistență a fost găsit doar pe sistemele cu funcția SSL-VPN activată, spune Fortinet într-un raport.
Mii de dispozitive afectate
Fortinet a efectuat scanări pentru a identifica dispozitivele afectate folosind telemetria internă și în colaborare cu organizații terțe. Rezultatele indică faptul că activitatea atacatorului nu a vizat o regiune sau industrie specifică.
O estimare a numărului de dispozitive afectate vine de la The Shadowserver Foundation, o organizație non-profit care colectează și analizează date despre activități malițioase pe internet.
Conform datelor organizației, pe 16 aprilie mecanismul de persistență bazat pe legături simbolice era prezent pe 17,009 de dispozitive Fortinet la nivel global.
În Europa, telemetria Shadowserver Foundation indică 3,793 de dispozitive afectate, cele mai multe fiind în Franța (583), Italia (389) și Spania (360).
Pentru România, datele organizației indică 92 de dispozitive Fortinet afectate, iar pentru Bulgaria și Republica Moldova 9, respectiv 5.
Recomandări pentru administratori
Pentru a combate amenințarea, Fortinet a creat semnături pentru antivirus și pentru sistemele de detectare a intruziunilor (Intrusion Detection System – IPS).
Ultimele versiuni ale produselor detectează legăturile simbolice și asigură că funcția SSL-VPN servește doar fișierele așteptate.
Fortinet a început să trimită notificări private clienților cu dispozitive pe care s-a detectat mecanismul malițios de persistență bazat pe legăturile simbolice.
Fortinet recomandă companiilor afectate să instaleze versiunile FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 sau 6.4.16 pe toate dispozitivele suportate.
Administratorii ar trebui să verifice configurările, să le considere ca posibil compromise și să urmeze acești pași pentru recuperare.
