Fortinet ha revelado que los actores de amenaza han antitético una guisa de nutrir el acercamiento de solo leída a dispositivos FortiGate vulnerables incluso a posteriori de que el vector de acercamiento original utilizado para violar los dispositivos fue parcheado.
Se cree que los atacantes apalancaron fallas de seguridad conocidas y ahora paradas, incluidas, entre otros, CVE-2022-42475, CVE-2023-27997 y CVE-2024-21762.
“Un actor de amenaza utilizó una vulnerabilidad conocida para implementar el acercamiento de solo leída a dispositivos FortiGate vulnerables”, dijo la compañía de seguridad de la red en un aviso publicado el jueves. “Esto se logró mediante la creación de un enlace simbólico que conecta el sistema de archivos de favorecido y el sistema de archivos raíz en una carpeta utilizada para servir archivos de idioma para el SSL-VPN”.
Fortinet dijo que las modificaciones tuvieron área en el sistema de archivos de favorecido y lograron esquivar la detección, lo que provocó que el enlace simbólico (asimismo conocido como enlace simbólico) se quedara a espaldas incluso a posteriori de que los agujeros de seguridad responsables del acercamiento original se conectaron.
Esto, a su vez, permitió a los actores de amenaza para nutrir el acercamiento de solo leída a los archivos en el sistema de archivos del dispositivo, incluidas las configuraciones. Sin secuestro, los clientes que nunca han apoderado SSL-VPN no se ven afectados por el problema.
No está claro quién está detrás de la actividad, pero Fortinet dijo que su investigación indicó que no estaba dirigida a ninguna región o industria específica. Incluso dijo que notificó directamente a los clientes que se vieron afectados por el problema.
A medida que otras mitigaciones para evitar que ocurran tales problemas nuevamente, se han implementado una serie de actualizaciones de software a Fortios.
- Fortios 7.4, 7.2, 7.0, 6.4 – El enlace simbólico fue traumatizado como sagaz para que el motor antivirus lo elimine automáticamente
- Fortios 7.6.2, 7.4.7, 7.2.11 y 7.0.17, 6.4.16 – Se eliminó el enlace simbólico y la interfaz de favorecido SSL -VPN se ha modificado para evitar la entrega de tales enlaces simbólicos maliciosos
Se recomienda a los clientes que actualicen sus instancias a las versiones de Fortios 7.6.2, 7.4.7, 7.2.11 y 7.0.17 o 6.4.16, revisen las configuraciones del dispositivo y traten todas las configuraciones como potencialmente comprometidas y realicen pasos de recuperación apropiados.
La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) ha emitido un aviso propio, instando a los usuarios a restablecer las credenciales expuestas y considerar deshabilitar la funcionalidad SSL-VPN hasta que se puedan aplicar los parches. El Equipo de Respuesta a Emergencias de la Computación de Francia (CERT-FR), en un boletín similar, dijo que es consciente de los compromisos que se remontan a principios de 2023.
En un comunicado compartido con The Hacker News, el CEO de WatchTowr, Benjamin Harris, dijo que el incidente es una preocupación por dos razones importantes.
“Primero, en la explotación salvaje se está volviendo significativamente más rápida de lo que las organizaciones pueden parchear”, dijo Harris. “Más importante aún, los atacantes son muy conscientes de este hecho”.
“En segundo área, y más aterrador, hemos conocido, en numerosas ocasiones, los atacantes desplegaron capacidades y traseros a posteriori de una rápida explotación diseñada para sobrevivir a los procesos de parcheo, puesta al día y restablecimiento de manufactura que las organizaciones han confiado para mitigar estas situaciones para nutrir la persistencia y el acercamiento a las organizaciones comprometidas”.
