Fortinet ha recentemente avvertito che alcuni attori malevoli sono riusciti a mantenere l'accesso in sola lettura ai dispositivi FortiGate vulnerabili, anche dopo che la vulnerabilità di accesso iniziale è stata corretta. Questi attacchi sfruttano falle di sicurezza note e ora risolte, tra cui CVE-2022-42475, CVE-2023-27997 e CVE-2024-21762. L'azienda di sicurezza di rete ha spiegato che gli attori della minaccia hanno utilizzato una vulnerabilità conosciuta per implementare un accesso in sola lettura ai dispositivi FortiGate compromessi. Questo è stato realizzato creando un collegamento simbolico che connette il file system dell'utente al file system radice, in una cartella utilizzata per servire i file di lingua per l'SSL-VPN.

Fortinet ha dichiarato che le modifiche sono state effettuate nel file system dell'utente e sono riuscite a sfuggire al rilevamento, lasciando il collegamento simbolico anche dopo che le falle di sicurezza iniziali sono state chiuse. Ciò ha permesso agli attori malevoli di mantenere l'accesso in sola lettura ai file del sistema del dispositivo, incluse le configurazioni. Tuttavia, i clienti che non hanno mai abilitato l'SSL-VPN non sono stati colpiti dal problema.

Non è ancora chiaro chi sia dietro questa attività, ma Fortinet ha indicato che non era mirata a nessuna regione o industria specifica. L'azienda ha anche notificato direttamente i clienti che sono stati colpiti dalla questione. Per prevenire ulteriori problemi, Fortinet ha rilasciato una serie di aggiornamenti software per FortiOS. Questi aggiornamenti includono il rilevamento del collegamento simbolico come malevolo, in modo che venga automaticamente rimosso dal motore antivirus, e modifiche all'interfaccia utente dell'SSL-VPN per prevenire la creazione di tali collegamenti simbolici malevoli.

I clienti sono invitati ad aggiornare le loro versioni di FortiOS alle più recenti, a rivedere le configurazioni dei dispositivi e a trattare tutte le configurazioni come potenzialmente compromesse, eseguendo i passi di recupero appropriati. La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha emesso un proprio avviso, esortando gli utenti a reimpostare le credenziali esposte e a considerare la disabilitazione della funzionalità SSL-VPN fino a quando le patch non possono essere applicate. Anche il Computer Emergency Response Team di Francia (CERT-FR) ha emesso un bollettino simile, affermando di essere a conoscenza di compromissioni che risalgono all'inizio del 2023.

In una dichiarazione rilasciata a The Hacker News, il CEO di watchTowr, Benjamin Harris, ha descritto l'incidente come preoccupante per due motivi. In primo luogo, l'esploit in ambiente reale sta diventando significativamente più veloce di quanto le organizzazioni possano correggere. In secondo luogo, e più preoccupante, gli attaccanti sono consapevoli di questo fatto e dispongono di capacità e backdoor progettate per sopravvivere ai processi di patching e ripristino dei fabbricanti, mantenendo così la persistenza e l'accesso alle organizzazioni compromesse.