Fortinet heeft onthuld dat dreigingsacteurs een manier hebben gevonden om alleen-lezen toegang tot kwetsbare FortiGate-apparaten te behouden, zelfs nadat de initiële toegangsvector die werd gebruikt om de apparaten te overtreden was gepatcht.
De aanvallers worden verondersteld bekende en nu afgestemde beveiligingsfouten te hebben gebruikt, waaronder, maar niet beperkt tot, CVE-2022-42475, CVE-2023-27997 en CVE-2024-21762.
“Een dreigingsacteur gebruikte een bekende kwetsbaarheid om alleen-lezen toegang tot kwetsbare Fortigate-apparaten te implementeren,” zei het netwerkbeveiligingsbedrijf in een advies dat donderdag werd vrijgegeven. “Dit werd bereikt via het maken van een symbolische link die het gebruikersbestandssysteem en het rootbestandssysteem verbindt in een map die wordt gebruikt om taalbestanden voor de SSL-VPN te bedienen.”
Fortinet zei dat de wijzigingen plaatsvonden in het gebruikersbestandssysteem en erin slaagden om detectie te ontwijken, waardoor de symbolische link (AKA Symlink) werd achtergelaten, zelfs nadat de beveiligingsgaten die verantwoordelijk waren voor de eerste toegang waren aangesloten.
Hierdoor konden de dreigingsactoren op zijn beurt alleen-alleen-lezen toegang tot bestanden op het bestandssysteem van het apparaat onderhouden, inclusief configuraties. Klanten die SSL-VPN nooit hebben ingeschakeld, worden echter niet beïnvloed door het probleem.
Het is niet duidelijk wie achter de activiteit zit, maar Fortinet zei dat het onderzoek aangaf dat het niet gericht was op een specifieke regio of industrie. Het zei ook dat het klanten direct op de hoogte bracht die door het probleem waren getroffen.
Naarmate verdere mitigaties om dergelijke problemen opnieuw te voorkomen, zijn een reeks software -updates voor Fortios uitgerold –
- Fortios 7.4, 7.2, 7.0, 6.4 – De symlink werd gemarkeerd als kwaadaardig zodat deze automatisch wordt verwijderd door de antivirusmotor
- Fortios 7.6.2, 7.4.7, 7.2.11 & 7.0.17, 6.4.16 – De Symlink is verwijderd en SSL -VPN UI is aangepast om het bedienen van dergelijke kwaadaardige symbolische banden te voorkomen
Klanten wordt geadviseerd om hun instanties bij te werken aan Fortios -versies 7.6.2, 7.4.7, 7.2.11 & 7.0.17 of 6.4.16, apparaatconfiguraties bekijk en alle configuraties te behandelen als mogelijk gecompromitteerd en geschikte herstelstappen uit te voeren.
De US Cybersecurity and Infrastructure Security Agency (CISA) heeft een eigen advies gegeven, waarbij gebruikers worden aangespoord om blootgestelde referenties te resetten en te overwegen SSL-VPN-functionaliteit uit te schakelen totdat de patches kunnen worden toegepast. Het Computer Emergency Response Team van Frankrijk (Cert-FR), in een soortgelijk Bulletin, zei dat het zich bewust is van compromissen die helemaal terug zijn tot begin 2023.
In een verklaring die wordt gedeeld met het Hacker News, zei Wachttowr -CEO Benjamin Harris dat het incident een zorg is voor twee belangrijke redenen.
“Ten eerste wordt in de wilde uitbuiting aanzienlijk sneller dan organisaties kunnen patchen,” zei Harris. “Wat nog belangrijker is, aanvallers zijn aantoonbaar en diep bewust van dit feit.”
“Ten tweede, en meer angstaanjagend, hebben we meerdere keren gezien, aanvallers implementeren mogelijkheden en backdoors na snelle uitbuiting die is ontworpen om de patching, upgrade en fabrieksinstellingen te overleven die organisaties resetten, zijn gaan vertrouwen om deze situaties te verzachten om deze situaties te beperken om doorzettingsvermogen te behouden en toegang tot gecompromitteerde organisaties.”
