Закрыли дверь, но оставили окна открытыми: обновлённый FortiGate всё ещё утекает к шпионам.
Пока вы это читаете, хакеры могут спокойно копаться в ваших файлах — всё благодаря символическим ссылкам.
Исследователи выявили новую волну атак на корпоративные VPN-устройства FortiGate, которые используются для безопасного удалённого доступа к внутренним сетям. Несмотря на установленные обновления безопасности, злоумышленники продолжают получать доступ к данным, используя изощрённые методы, позволяющие оставаться в системе незамеченными даже после обнаружения взлома.
О серьёзности угрозы говорит тот факт, что Fortinet начала экстренно рассылать клиентам конфиденциальные уведомления с грифом TLP:AMBER+STRICT — этот уровень маркировки информации доступен только ограниченному кругу специалистов. Согласно данным FortiGuard, заражение было зафиксировано на множестве устройств по всему миру.
В письме с заголовком «Уведомление о компрометации устройства — FortiGate / FortiOS — требуются срочные действия» компания Fortinet уточняет, что речь идёт не о новых уязвимостях, а о последствиях предыдущих атак. Хакеры использовали уязвимости CVE-2022-42475, CVE-2023-27997 и CVE-2024-21762, а затем оставляли в системе механизмы для скрытого доступа.
Главный приём — создание символических ссылок в папке с языковыми пакетами. Эти ссылки вели к корневой файловой системе FortiGate, активной при включённом SSL-VPN. Таким образом злоумышленники получали доступ к файлам конфигурации и другим критически важным данным, оставаясь незамеченными стандартными средствами защиты.
По данным французского CERT-FR (входит в ANSSI), масштабы атаки впечатляют: кампания началась ещё в начале 2023 года и затронула множество устройств по всей стране. В свою очередь, американское агентство CISA призвало всех специалистов по кибербезопасности сообщать о любых подозрительных инцидентах, связанных с этой угрозой.
Чтобы устранить последствия взлома, Fortinet рекомендует как можно скорее обновить FortiOS до следующих версий: 7.6.2, 7.4.7, 7.2.11, 7.0.17 или 6.4.16. Эти обновления удаляют вредоносные элементы, которые обеспечивали хакерам сохранённый доступ.
Администраторов также просят проверить устройства на наличие подозрительных изменений и сбросить потенциально скомпрометированные учётные данные. Кроме того, необходимо изолировать заражённые устройства от сети, заменить все конфиденциальные данные (сертификаты, токены, ключи) и искать признаки горизонтального перемещения — попыток распространить атаку внутри корпоративной инфраструктуры.