Более 14 000 устройств Fortinet по всему миру были скомпрометированы благодаря эксплуатации известных уязвимостей и нового механизма постоянства на основе символических ссылок, в результате чего потенциально подвергаются конфиденциальные данные.
Фонд Shadowserver сообщил, что актер угрозы использовал старые критические уязвимости, включая CVE-2022-42475, CVE-2012-27997 и CVE-2024-21762, чтобы получить доступ к устройствам FortiGate. Fortinet предупредил, что организации клиентов, которые исправлены эти старые уязвимости, все еще могут быть скомпрометированы, поскольку модификации символики уклонялись от обнаружения поставщика и сохранялись после обновлений. Symlink или символическая ссылка, по сути, является ярлыком для файла, который предоставляет злоумышленникам доступ к файлам на скомпрометированном устройстве.
Последние сканы Shadowserver показали почти 7000 скомпрометированных устройств Fortinet в Азии, примерно 3500 и 2600 в Европе и Северной Америке соответственно. Страны с наиболее скомпрометированными устройствами – это США, Япония, Тайвань и Китай. Согласно Ciso Carl Windsor’s из Fortinet, механизм Symlink был имплантирован в пользовательские файловые системы устройств и предоставляет доступ только для чтения файлов, что «может включать конфигурации устройства». Поставщик сетевой безопасности отметил, что клиенты, которые никогда не включали SSL-VPN, не влияют на угрозу.
Команда реагирования на экстренную аварий в Новой Зеландии (CERT NZ) предупредила об широко распространенной эксплуатации уязвимостей Fortinet, начиная с 2023 года. Cert-NZ также предупредил, что механизм символического ссылки, возможно, дал актеру угрозы доступ к высокочувствительным данным на устройствах Fortinet. «Компромисс, возможно, позволил актеру получить доступ к конфиденциальным файлам из скомпрометированных устройств, включая учетные данные и ключевые материалы»,-говорится в сообщении CERT-NZ.
Команда реагирования на экстренную помощь Франции (CERT-FR) сообщила о крупномасштабных атаках, использующих методику после эксплуатации в стране. «CERT-FR знает о массовой кампании, включающей многочисленные скомпрометированные устройства во Франции. Во время операций реагирования на инциденты CERT-FR узнал о компромиссах, происходящих с начала 2023 года»,-говорится в своем консультировании агентство. Fortinet напрямую общался с клиентами, которые были затронуты угрозой и выпущенными обновлениями и смягчением, которые могут обнаружить и удалять символику из файловых систем устройств и предотвратить их перераспределение.
CERT-FR подчеркнул, что применение обновлений и удаление вредоносной символики «недостаточно в случае компромисса». Агентство призвало таких клиентов изолировать скомпрометированные устройства из своих сетей и выполнить «замораживание данных», чтобы исследовать вредоносную деятельность; Сбросить все секреты на затронутых устройствах, таких как пароли и сертификаты; и сбросить все секреты аутентификации, которые могли быть переданы через скомпрометированные устройства.
Source: Устройства Fortinet, взломанные с помощью Symlink Attack, данные о риске
