Fortinet ha rivelato che gli attori delle minacce hanno trovato un modo per mantenere l’accesso di sola lettura ai dispositivi FortiGate vulnerabili anche dopo che il vettore di accesso iniziale utilizzato per violare i dispositivi è stato patchato.
Si ritiene che gli aggressori abbiano sfruttato i difetti di sicurezza noti e ora abbagliati, tra cui, ma non limitati a, CVE-2022-42475, CVE-2023-27997E CVE-2024-21762.
“Un attore di minaccia ha utilizzato una vulnerabilità nota per implementare l’accesso di sola lettura ai dispositivi FortiGate vulnerabili”, la società di sicurezza della rete disse In una consulenza pubblicata giovedì. “Ciò è stato ottenuto attraverso la creazione di un collegamento simbolico che collega il file system utente e il file system di root in una cartella utilizzata per servire i file di lingua per SSL-VPN.”
Fortinet ha affermato che le modifiche si sono svolte nel file system utente e sono riuscite a sfuggire al rilevamento, causando il collegamento del collegamento simbolico (aka Symlink) anche dopo che i fori di sicurezza sono stati collegati l’accesso iniziale.
Ciò, a sua volta, ha permesso agli attori di minaccia di mantenere l’accesso di sola lettura ai file sul file system del dispositivo, comprese le configurazioni. Tuttavia, i clienti che non hanno mai abilitato SSL-VPN non sono influenzati dal problema.
Non è chiaro chi sia dietro l’attività, ma Fortinet ha affermato che la sua indagine ha indicato che non period rivolto a nessuna regione o industria specifica. Ha anche affermato che ha notificato direttamente i clienti che sono stati colpiti dal problema.
Come ulteriori mitigazioni per impedire che tali problemi si svolgano di nuovo, una serie di aggiornamenti software program ai forti è stata lanciata –
- Fortios 7.4, 7.2, 7.0, 6.4 – Il collegamento simbolico è stato contrassegnato come dannoso in modo che venga rimosso automaticamente dal motore antivirus
- Fortios 7.6.2, 7.4.7, 7.2.11 e 7.0.17, 6.4.16 – Il collegamento simbolico è stato rimosso e l’interfaccia utente SSL -VPN è stata modificata per impedire la porzione di tali collegamenti simbolici dannosi
Si consiglia ai clienti di aggiornare le loro istanze alle versioni Fortios 7.6.2, 7.4.7, 7.2.11 e 7.0.17 o 6.4.16, rivedere le configurazioni dei dispositivi e trattare tutte le configurazioni come potenzialmente compromesse ed Passaggi di recupero appropriati.
L’Agenzia per la sicurezza della cybersecurity e delle infrastrutture statunitensi ha rilasciato Un consulente proprio, che esorta gli utenti a ripristinare le credenziali esposte e prendere in considerazione la disabilitazione della funzionalità SSL-VPN fino a quando non è possibile applicare le patch. Il workforce di risposta alle emergenze del pc di Francia (cert-fr), in un bollettino simile, disse È a conoscenza dei compromessi risalenti all’inizio del 2023.
In una dichiarazione condivisa con la notizia di Hacker, Benjamin Harris, CEO di Watchtowr, ha affermato che l’incidente è una preoccupazione per due motivi importanti.
“Innanzitutto, nello sfruttamento selvaggio sta diventando significativamente più veloce di quanto le organizzazioni possano fare una patch”, ha detto Harris. “Ancora più importante, gli aggressori sono dimostrabilmente e profondamente consapevoli di questo fatto.”
“In secondo luogo, e più terrificante, abbiamo visto, numerose volte, gli aggressori schierano capacità e backdoor dopo un rapido sfruttamento progettato per sopravvivere ai processi di patch, aggiornamento e ripristino delle fabbrica di organizzazioni su cui si affidano per mitigare queste situazioni per mantenere la persistenza e l’accesso a organizzazioni compromesse.”
