16/06/25
Компания Fortinet предупредила: даже после установки всех обновлений злоумышленники могут сохранять доступ к устройствам FortiGate VPN . Речь не о новой уязвимости, а о методе, который позволяет хакерам незаметно остаться в системе, используя незакрытые «хвосты» от прежних атак, пишет Securitylab.
На днях Fortinet начала рассылать клиентам письма с тревожным заголовком: «Обнаружена компрометация устройства — FortiGate / FortiOS — Требуются срочные действия». Сообщения получили маркировку TLP:AMBER+STRICT, что ограничивает их распространение внутри организаций. Повод для беспокойства — данные телеметрии с устройств FortiGuard, на которых были замечены признаки присутствия стороннего кода, пишет Securitylab.
Из писем становилось ясно: проблема не связана с какой-то новой ошибкой. Речь шла о следах, оставленных в системе после эксплуатации уже известных брешей, включая CVE-2022-42475, CVE-2023-27997 и CVE-2024-21762. Даже после того как дыры были закрыты и прошивки обновлены, вредоносные элементы могли остаться нетронутыми.
Когда журналисты обратились за разъяснениями, Fortinet выпустила официальное заявление. В нём компания и рассказала подробно о технике, которой пользовались атакующие: в процессе взлома они создавали символьную ссылку в директории языковых файлов веб-интерфейса SSL-VPN. Эта ссылка связывала пользовательскую область с корневой системой, и благодаря ей злоумышленники получали возможность читать содержимое файлов даже после «выдворения». По сути, это форма пассивного доступа, оставленного на случай будущей активности или сбора данных.
Угроза оказалась не новой: как выяснилось, подобные атаки проводились как минимум с начала 2023 года. Об этом сообщило французское агентство CERT-FR, которое входит в структуру ANSSI — национальной службы информационной безопасности. Там подтвердили, что речь идёт о масштабной кампании, затронувшей большое количество устройств внутри страны.
По словам аналитиков CERT-FR, во многих инцидентах, расследованных в течение последнего года, встречались одни и те же признаки: та же символьная ссылка, тот же путь через SSL-VPN и те же следы на уровнях, где администраторы обычно не ожидают подвоха. В ряде случаев вредонос оставался внутри месяцами, прежде чем его замечали.
