A Fortinet revelou que os atacantes encontraram uma maneira de manter o acesso somente leitura a dispositivos vulneráveis FortiGate, mesmo após o vetor de acesso inicial usado para invadir os dispositivos ter sido corrigido.

Os atacantes acredita-se terem aproveitado falhas de segurança conhecidas e agora corrigidas, incluindo, mas não se limitando a, CVE-2022-42475, CVE-2023-27997 e CVE-2024-21762.

“A ameaça usou uma vulnerabilidade conhecida para implementar acesso somente leitura aos dispositivos FortiGate vulneráveis,” disse a empresa de segurança de rede em um comunicado divulgado na quinta-feira. “Isso foi alcançado através da criação de um link simbólico conectando o sistema de arquivos do usuário e o sistema de arquivos raiz em uma pasta usada para servir arquivos de idioma para o SSL-VPN.”

A Fortinet disse que as modificações ocorreram no sistema de arquivos do usuário e conseguiram evitar a detecção, fazendo com que o link simbólico (também conhecido como symlink) fosse deixado mesmo após os buracos de segurança responsáveis pelo acesso inicial terem sido tapados.

Isso, por sua vez, permitiu aos atacantes manter o acesso somente leitura aos arquivos no sistema de arquivos do dispositivo, incluindo configurações. No entanto, os clientes que nunca habilitaram o SSL-VPN não são afetados pelo problema.

Não está claro quem está por trás da atividade, mas a Fortinet disse que sua investigação indicou que ela não tinha como alvo nenhuma região ou indústria específica. A empresa também disse que notificou diretamente os clientes afetados pelo problema.

Como medidas adicionais para evitar que problemas desse tipo ocorram novamente, uma série de atualizações de software para o FortiOS foram lançadas –

– FortiOS 7.4, 7.2, 7.0, 6.4 – O symlink foi marcado como malicioso, para que seja removido automaticamente pelo mecanismo antivírus.
– FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 e 6.4.16 – O symlink foi removido e a interface do usuário do SSL-VPN foi modificada para evitar o servidor desses links simbólicos maliciosos.

Os clientes são aconselhados a atualizar suas instâncias para as versões do FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 ou 6.4.16, revisar as configurações do dispositivo e considerar todas as configurações como potencialmente comprometidas e executar as medidas adequadas de recuperação.

A Agência de Segurança de Cibersegurança e Infraestrutura dos EUA (CISA) emitiu um aviso próprio, instando os usuários a redefinir credenciais expostas e considerar desativar a funcionalidade SSL-VPN até que as correções possam ser aplicadas. A Equipe de Resposta a Emergências de Computadores da França (CERT-FR), em um boletim semelhante, disse que está ciente de compromissos que remontam a 2023.

Em uma declaração compartilhada com The Hacker News, o CEO da watchTowr, Benjamin Harris, disse que o incidente é preocupante por dois motivos importantes.

“Primeiro, a exploração em campo está se tornando significativamente mais rápida do que as organizações podem corrigir,” Harris disse. “Mais importante, os atacantes estão demonstradamente e profundamente conscientes desse fato.”

“Segundo, e mais aterrorizante, vimos, inúmeras vezes, os atacantes implantarem capacidades e backdoors após explorações rápidas projetadas para sobreviver aos processos de correção, atualização e reset de fábrica nas quais as organizações passaram a confiar para mitigar essas situações e manter a persistência e acesso a organizações comprometidas.”

Harris também disse que implantações de backdoor foram identificadas em toda a base de clientes da watchTowr e que estão “vendo impacto em organizações que muitos claramente chamariam de infraestrutura crítica”.