Într-un nou val de atacuri cibernetice, mii de dispozitive Fortinet FortiGate din întreaga lume, inclusiv din România, au fost compromise de hackeri care au reușit să mențină accesul chiar și după aplicarea patch-urilor de securitate. Aceștia au exploatat o tehnică ingenioasă folosind symlinks (legături simbolice) pentru a păstra accesul la sistemele afectate.
Detalii despre atac
Conform unui raport al The Shadowserver Foundation, peste 16.000 de dispozitive Fortinet expuse la internet au fost detectate ca fiind compromise printr-un nou backdoor bazat pe symlinks, care permite accesul în regim read-only la fișierele sensibile de pe dispozitivele compromise anterior.
Fortinet a avertizat clienții că au descoperit un nou mecanism de persistență utilizat de un actor de amenințare pentru a menține accesul remote în regim read-only la fișierele din sistemul de fișiere root al dispozitivelor FortiGate compromise anterior, chiar și după aplicarea patch-urilor.
Această tehnică nu exploatează vulnerabilități noi, ci este legată de atacuri care au început în 2023 și au continuat în 2024, în care un actor de amenințare a utilizat zero-day-uri pentru a compromite dispozitivele FortiOS.
După obținerea accesului la dispozitive, hackerii au creat legături simbolice în folderul fișierelor de limbă către sistemul de fișiere root pe dispozitivele cu SSL-VPN activat. Deoarece fișierele de limbă sunt accesibile public pe dispozitivele FortiGate cu SSL-VPN activat, hackerii puteau naviga către acel folder și obține acces persistent în regim read-only la sistemul de fișiere root, chiar și după aplicarea patch-urilor pentru vulnerabilitățile inițiale.
Impactul în România
Deși nu există date specifice despre numărul exact de dispozitive afectate în România, se știe că atacurile au vizat inclusiv organizații guvernamentale și companii din România, conform unui raport al SC Media.
CERT-FR a raportat că această tehnică a fost exploatată într-o campanie masivă care a început la începutul anului 2023, afectând numeroase dispozitive în Franța și alte țări europene.
Recomandări pentru utilizatori
Fortinet a emis mai multe recomandări pentru utilizatorii dispozitivelor FortiGate:
- Actualizați toate dispozitivele la versiunile FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 sau 6.4.16, care includ remedieri pentru această problemă.
- Revizuiți configurațiile tuturor dispozitivelor și tratați-le ca fiind potențial compromise.
- Resetați toate acreditivele, inclusiv parolele și cheile de criptare.
- Izolați dispozitivele compromise de rețea și efectuați o analiză forensică completă.
- Consultați ghidul oficial Fortinet pentru pașii recomandați în cazul unei compromiteri: Fortinet Technical Tip.
Această campanie de atacuri evidențiază importanța menținerii unor practici riguroase de securitate cibernetică și actualizarea frecventă a echipamentelor. Organizațiile trebuie să fie vigilente și să urmeze recomandările furnizorilor pentru a preveni și a răspunde eficient la astfel de amenințări persistente.
