Fortinet опубликовала подробности расследования, в ходе которого была выявлена новая техника пост-эксплуатации, используемая злоумышленниками для сохранения доступа к устройствам FortiGate, несмотря на устранение уязвимости.
Злоумышленник создавал символическую ссылку, соединяющую пользовательскую и корневую файловые системы в папке, обслуживающей языковые файлы SSL-VPN. Такая модификация позволяла скрытно читать файлы, включая конфигурации, даже если устройство было обновлено.
Что произошло?
Исследователи Fortinet обнаружили, что хакеры использовали известные уязвимости (например, FG-IR-22-398, FG-IR-23-097, FG-IR-24-015) для получения доступа к устройствам. Но необычным оказалось то, как они удерживали доступ, даже после того как путь проникновения был заблокирован.Злоумышленник создавал символическую ссылку, соединяющую пользовательскую и корневую файловые системы в папке, обслуживающей языковые файлы SSL-VPN. Такая модификация позволяла скрытно читать файлы, включая конфигурации, даже если устройство было обновлено.
Важно: устройства, на которых никогда не включался SSL-VPN, не подвержены риску.
Ответ Fortinet
После обнаружения Fortinet немедленно активировала команду реагирования PSIRT, разработала обновления и начала напрямую оповещать затронутых клиентов. Были реализованы следующие меры:- Обновлённый AV/IPS-движок для автоматического обнаружения и удаления символической ссылки.
- Изменения в последних релизах FortiOS, исключающие возможность обслуживания файлов через SSL-VPN вне ожидаемых путей.
- Прямая коммуникация с клиентами, балансируя между прозрачностью и предотвращением дальнейших атак.
Версии FortiOS с защитой
- FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17, 6.4.16: при обновлении эти версии автоматически удаляют вредоносную символическую ссылку.
- AV/IPS движки распознают и устраняют угрозу, если они лицензированы и активированы.
Рекомендации для клиентов
Fortinet рекомендует всем клиентам:- Обновиться до последних защищённых версий.
- Проверить конфигурации устройств.
- Рассматривать текущие настройки как потенциально скомпрометированные и следовать рекомендованным шагам восстановления.
Почему это важно?
Исследование FortiGuard Labs показало, что в среднем проходит менее 5 дней между публичным раскрытием уязвимости и её активной эксплуатацией. С более чем 40 000 уязвимостей, зафиксированных NIST в 2024 году, своевременное обновление и жёсткие стандарты кибергигиены — не роскошь, а необходимость.Дополнительные меры защиты Fortinet
- Компиляция с усиленной защитой.
- Поддержка Integrity Measurement Architecture (IMA) и проверка целостности файловой системы.
- Виртуальные заплатки до выхода официальных обновлений.
- Автообновления и улучшенные механизмы отказоустойчивости (Sub-second failover, Auto-restore, и др.).
