Ponad 14 000 urządzeń Fortinet na całym świecie zostało zagrożonych poprzez wykorzystanie znanych luk i nowatorskiego mechanizmu trwałości opartego na symlinowaniu, pozostawiając poufne dane potencjalnie ujawnione.
Fundacja Shadowserver poinformowała, że aktor zagrożenia wykorzystał starsze krytyczne luki, w tym CVE-2012-42475, CVE-2023-27997 i CVE-2024-21762, aby uzyskać dostęp do urządzeń Fortigate. Fortinet ostrzegł, że organizacje klientów, że załatane te starsze luki mogą być nadal narażone na szwank, ponieważ modyfikacje symboliczne unikały wykrycia dostawcy i utrzymywały się po aktualizacji. Link symboliczny lub link symboliczny jest zasadniczo skrótem do pliku, który zapewnia atakującym dostęp do plików na naruszeniu urządzenia.
Najnowsze skany Shadowserver wykazały prawie 7 000 zagrożonych urządzeń Fortinet w Azji, z odpowiednio około 3500 i 2600 w Europie i Ameryce Północnej. Kraje z najbardziej zagrożonym urządzeniami są Stany Zjednoczone, Japonia, Tajwan i Chiny. Według Ciso Carl Windsor z Fortinet mechanizm symboliczny został wszczepiony w systemy plików użytkowników urządzeń i zapewnia dostęp tylko do plików, które „mogą obejmować konfiguracje urządzeń”. Sprzedawca bezpieczeństwa sieci zauważył, że czynność zagrożenia nie ma wpływu na klientów, którzy nigdy nie włączały SSL-VPN.
Zespół reagowania kryzysowego w Nowej Zelandii (CERT NZ) ostrzegł przed powszechnym wykorzystaniem luk w zabezpieczeniach Fortinet z 2023 r. „Kompromis mógł pozwolić aktorowi uzyskać dostęp do wrażliwych plików z kompromisowych urządzeń, w tym poświadczeń i kluczowych materiałów”, powiedział doradztwo Cert-NZ.
Francuska drużyna reagowania kryzysowego (CERT-FR) zgłosiła ataki na dużą skalę wykorzystujące technikę po eksploatacji w tym kraju. „Cert-FR zdaje sobie sprawę z masowej kampanii obejmującej wiele naruszeni urządzeń we Francji. Fortinet komunikowała się bezpośrednio z klientami, na które dotknęli działalność zagrożenia oraz opublikowała aktualizacje i łagodzenie, które mogą wykryć i usuwać symbolizny z systemów plików urządzeń i uniemożliwić im ponowne wdrożenie.
Cert-FR podkreślił, że stosowanie aktualizacji i usunięcie złośliwego symlinki są „niewystarczające w przypadku kompromisu”. Agencja wezwała takich klientów do odizolowania naruszenia urządzeń ze swoich sieci i przeprowadzenia „zamrażania danych” w celu zbadania złośliwej działalności; Zresetuj wszystkie tajemnice na dotkniętych urządzeniach, takich jak hasła i certyfikaty; i zresetuj wszystkie tajemnice uwierzytelniania, które mogły zostać przesyłane za pośrednictwem urządzeń zagrożonych.
Source: Urządzenia Fortinet zhakowane przez atak symboliczny, dane zagrożone
