Fortinet ha revelado que los actores de amenaza han encontrado una manera de mantener el acceso de solo lectura a dispositivos FortiGate vulnerables incluso después de que el vector de acceso inicial utilizado para violar los dispositivos fue parcheado.
Se cree que los atacantes apalancaron fallas de seguridad conocidas y ahora paradas, incluidas, entre otros, CVE-2022-42475, CVE-2023-27997 y CVE-2024-21762.
«Un actor de amenaza utilizó una vulnerabilidad conocida para implementar el acceso de solo lectura a dispositivos FortiGate vulnerables», dijo la compañía de seguridad de la red en un aviso publicado el jueves. «Esto se logró mediante la creación de un enlace simbólico que conecta el sistema de archivos de usuario y el sistema de archivos raíz en una carpeta utilizada para servir archivos de idioma para el SSL-VPN».
Fortinet dijo que las modificaciones tuvieron lugar en el sistema de archivos de usuario y lograron evadir la detección, lo que provocó que el enlace simbólico (también conocido como enlace simbólico) se quedara atrás incluso después de que los agujeros de seguridad responsables del acceso inicial se conectaron.
Esto, a su vez, permitió a los actores de amenaza para mantener el acceso de solo lectura a los archivos en el sistema de archivos del dispositivo, incluidas las configuraciones. Sin embargo, los clientes que nunca han habilitado SSL-VPN no se ven afectados por el problema.
No está claro quién está detrás de la actividad, pero Fortinet dijo que su investigación indicó que no estaba dirigida a ninguna región o industria específica. También dijo que notificó directamente a los clientes que se vieron afectados por el problema.
A medida que otras mitigaciones para evitar que ocurran tales problemas nuevamente, se han implementado una serie de actualizaciones de software a Fortios.
- Fortios 7.4, 7.2, 7.0, 6.4 – El enlace simbólico fue marcado como malicioso para que el motor antivirus lo elimine automáticamente
- Fortios 7.6.2, 7.4.7, 7.2.11 y 7.0.17, 6.4.16 – Se eliminó el enlace simbólico y la interfaz de usuario SSL -VPN se ha modificado para evitar la entrega de tales enlaces simbólicos maliciosos
Se recomienda a los clientes que actualicen sus instancias a las versiones de Fortios 7.6.2, 7.4.7, 7.2.11 y 7.0.17 o 6.4.16, revisen las configuraciones del dispositivo y traten todas las configuraciones como potencialmente comprometidas y realicen pasos de recuperación apropiados.
La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) ha emitido un aviso propio, instando a los usuarios a restablecer las credenciales expuestas y considerar deshabilitar la funcionalidad SSL-VPN hasta que se puedan aplicar los parches. El Equipo de Respuesta a Emergencias de la Computación de Francia (CERT-FR), en un boletín similar, dijo que es consciente de los compromisos que se remontan a principios de 2023.
En un comunicado compartido con The Hacker News, el CEO de WatchTowr, Benjamin Harris, dijo que el incidente es una preocupación por dos razones importantes.
«Primero, en la explotación salvaje se está volviendo significativamente más rápida de lo que las organizaciones pueden parchear», dijo Harris. «Más importante aún, los atacantes son muy conscientes de este hecho».
«En segundo lugar, y más aterrador, hemos visto, en numerosas ocasiones, los atacantes desplegaron capacidades y traseros después de una rápida explotación diseñada para sobrevivir a los procesos de parcheo, actualización y restablecimiento de fábrica que las organizaciones han confiado para mitigar estas situaciones para mantener la persistencia y el acceso a las organizaciones comprometidas».