Fortinet предупреждает: вредоносные программы могут сохраняться в FortiGate даже после установки патчей

Компания Fortinet выпустила предупреждение о том, что даже после установки всех доступных обновлений злоумышленники могут сохранять доступ к устройствам FortiGate VPN. Речь идёт не о новой уязвимости, а о методе, позволяющем хакерам оставаться в системе за счёт незакрытых «хвостов» от предыдущих атак.

Недавно Fortinet направила своим клиентам письма с заголовком: «Обнаружена компрометация устройства — FortiGate / FortiOS — Требуются срочные действия». Сообщения получили статус TLP:AMBER+STRICT, что ограничивает их распространение внутри организаций. Поводом для тревоги стали данные телеметрии с устройств FortiGuard, на которых были обнаружены признаки присутствия постороннего кода.

Как сообщает источник SecurityLab.ru, проблема связана с остаточными следами от эксплуатации ранее известных уязвимостей, таких как CVE-2022-42475, CVE-2023-27997 и CVE-2024-21762. Даже после того, как уязвимости были закрыты и прошивки обновлены, вредоносные элементы могли остаться в системе нетронутыми.

В официальном заявлении Fortinet описывает технику атакующих: злоумышленники создавали символьную ссылку в директории языковых файлов веб-интерфейса SSL-VPN, связывая пользовательскую область с корневой системой. Это позволяло им читать содержимое файлов даже после удаления основной части вредоносного ПО.

Уникальность данной техники в том, что вредоносный объект выглядел как легитимный файл в папке с языковыми файлами, которая регулярно используется системой. Таким образом, вредонос оставался незаметным ни для администраторов, ни для средств защиты.

Такой пассивный доступ позволял злоумышленникам следить за изменениями конфигурации и системными файлами, продолжая сбор информации даже без возможности менять настройки.

По данным французского CERT-FR, подобные атаки ведутся с начала 2023 года в рамках масштабной кампании, затронувшей большое количество устройств, о чём также свидетельствуют повторяющиеся признаки — одинаковые символьные ссылки и пути проникновения через SSL-VPN.

Американское агентство CISA призывает специалистов незамедлительно сообщать обо всех подозрительных инцидентах, связанных с FortiGate, через email Report@cisa.gov или по телефону (888) 282-0870.

Для устранения угрозы Fortinet рекомендует обновить прошивку до одной из последних версий FortiOS: 7.6.2, 7.4.7, 7.2.11, 7.0.17 или 6.4.16. Эти обновления не только закрывают известные уязвимости, но и автоматически удаляют вредоносные файлы, включая опасные символьные ссылки.