Почти 17 000 устройств Fortinet, подключённых к интернету, оказались заражены скрытым бэкдором, позволяющим злоумышленникам просматривать чувствительные файлы в режиме «только чтение». Речь идёт о тех устройствах, которые ранее уже подвергались атаке, а затем были обновлены. Тем не менее, несмотря на установленные обновления безопасности, доступ к файловой системе сохранился за атакующими.
Об инциденте сообщил Shadowserver Foundation. Изначально было зафиксировано более 14 000 уязвимых устройств, однако позднее количество возросло до 16 620. По словам представителя организации, отслеживаемая угроза распространилась быстрее, чем предполагалось.
Компания Fortinet недавно уведомила клиентов о новой скрытой технике сохранения доступа, при которой злоумышленник создаёт символическую ссылку (симлинк) между пользовательской и корневой файловыми системами. Это происходит в папке, предназначенной для языковых файлов, которая автоматически становится доступной из интернета на устройствах с включённым SSL-VPN. После такой манипуляции атакующий может просматривать содержимое всей файловой системы, включая конфигурационные файлы, даже если сама уязвимость уже устранена обновлениями.
Особенность метода заключается в том, что модификация происходит не в системной области, а в пользовательской, за счёт чего остаётся вне зоны контроля стандартных проверок. Это означает, что даже после установки обновлений FortiOS уязвимость продолжает существовать в виде оставленной символической ссылки, через которую атакующий сохраняет доступ к конфиденциальной информации.
Источник угрозы — кампания, начавшаяся ещё в 2023 году. Тогда хакеры использовали несколько Zero-Day для взлома устройств FortiGate, а позже перешли к механизму сохранения доступа. На текущем этапе Fortinet связывается с владельцами уязвимых устройств напрямую, информируя их по электронной почте о необходимости принять срочные меры.
В качестве противодействия Fortinet уже обновила антивирусные и IPS-сигнатуры, способные обнаруживать и удалять вредоносные символические ссылки. Кроме того, новая прошивка блокирует возможность обработки веб-сервером любых неизвестных файлов и каталогов, которые не предусмотрены штатной конфигурацией.
Несмотря на это, факт компрометации означает потенциальную утечку конфигурационных файлов, включая пароли. В связи с этим Fortinet настоятельно рекомендует сбросить все учётные данные и внимательно следовать официальной инструкции по восстановлению безопасности.