КFortiGate залатал дыру, но оставил лазейку — хакеры читают файлы через задние симлинки

Компании по всему миру, полагающиеся на FortiGate для защиты корпоративных VPN, оказались под ударом: хакеры продолжают получать доступ к данным даже после установки всех актуальных обновлений. Проблема не в новых уязвимостях, а в том, что злоумышленники заранее оставили в системе потайные лазейки — в прямом смысле слова.

Исследователи выявили, что в результате прошлых атак, связанных с уязвимостями CVE-2022-42475, CVE-2023-27997 и CVE-2024-21762, хакеры встроили в устройства скрытые символические ссылки (симлинки), ведущие к чувствительным разделам файловой системы. Расположенные в папке языковых пакетов VPN, эти симлинки оставались вне поля зрения системных администраторов и антивирусных решений, позволяя злоумышленникам считывать конфигурации, ключи и другую критически важную информацию.

Ситуация вызвала обеспокоенность во многих странах. Французский CERT-FR сообщил о широкомасштабной кампании, стартовавшей ещё в 2023 году. Американская CISA призвала организации немедленно сообщать о подозрительной активности, связанной с FortiGate, и предоставила круглосуточные каналы связи для сообщений об инцидентах.

Fortinet уже начала экстренную рассылку своим клиентам с уведомлением TLP:AMBER+STRICT, призывая срочно обновить прошивки до последних версий FortiOS (7.6.2, 7.4.7, 7.2.11, 7.0.17 и 6.4.16). Компания также выпустила рекомендации по выявлению симлинков, сбросу учётных данных и полной изоляции заражённых устройств от сети. Особое внимание предлагается уделить проверке признаков lateral movement — перемещений атакующих по сети с целью распространения вредоносного влияния на другие узлы.

Эксперты напоминают: обновление системы — это не финал атаки, а лишь её пауза. Если после взлома не провести глубокую ревизию, старые лазейки могут остаться в системе и привести к повторному компрометированию.