Lebih dari 16.000 perangkat Fortinet secara global telah ditemukan dikompromikan dengan pintu belakang symlink yang persisten. Ini adalah kerentanan yang memungkinkan akses hanya baca ke file konfigurasi sensitif bahkan setelah penambalan. Awalnya dilaporkan mempengaruhi 14.000 perangkat, jumlah itu telah naik menjadi lebih dari 16.620 menurut The Shadowserver Foundation, memaparkan pengawasan keamanan skala luas dalam manajemen firewall FortiGate.
Seperti yang pertama kali dilaporkan BleepingComputer, masalah ini berasal dari serangan yang berasal dari tahun 2023, di mana aktor ancaman mengeksploitasi kerentanan zero-hari di Fortios. Dalam serangan ini, peretas membuat tautan simbolik di folder file bahasa ke sistem file root pada perangkat dengan SSL-VPN diaktifkan. Dengan pengaturan ini diaktifkan, file bahasa dapat diakses secara publik, memungkinkan aktor ancaman untuk menggunakan tautan simbolik untuk mendapatkan akses baca yang terus -menerus ke sistem file root.
Langkah ini secara efektif memberikan akses jarak jauh ke sistem file root perangkat tanpa perlu eksploitasi aktif dari kerentanan saat ini. Tautan simbolik bertahan bahkan setelah pembaruan perangkat lunak.
Wawasan lebih lanjut dari register mengungkapkan bahwa symlink ini dibuat menggunakan tiga kerentanan yang diketahui, dua di antaranya sebelumnya dieksploitasi oleh Void Typhoon Group yang didukung Cina.
“Kami telah melihat, berkali -kali, penyerang menggunakan kemampuan dan backdoor setelah eksploitasi cepat yang dirancang untuk bertahan hidup dari proses penambalan, peningkatan, dan reset pabrik yang diandalkan oleh organisasi untuk mengurangi situasi ini untuk mempertahankan ketekunan dan akses ke organisasi yang dikompromikan,” kata Benjamin Harris, CEO Watchtowr.
Sebagai tanggapan, Fortinet telah meluncurkan pembaruan firmware dan tanda tangan AV/IPS yang diperbarui untuk mendeteksi dan menghapus symlink. Peringatan email pribadi juga telah dikirim ke klien yang terkena dampak.
Baru tahun ini, kami melaporkan pelanggaran di mana file konfigurasi “Belsen Group” yang baru muncul dan kredensial VPN dari lebih dari 15.000 perangkat FortiGate. Skala dan kegigihan serangan ini menyoroti masalah potensial dalam pendekatan Fortinets terhadap keamanan siber.