Fortinet telah mengungkapkan bahwa para aktor ancaman telah menemukan cara untuk mempertahankan akses hanya baca ke perangkat FortiGate yang rentan bahkan setelah vektor akses awal yang digunakan untuk melanggar perangkat ditambal.
Para penyerang diyakini telah memanfaatkan kelemahan keamanan yang diketahui dan sekarang ditonton, termasuk, tetapi tidak terbatas pada, CVE-2022-42475, CVE-2023-27997, dan CVE-2024-21762.
“Seorang aktor ancaman menggunakan kerentanan yang diketahui untuk mengimplementasikan akses hanya baca ke perangkat FortiGate yang rentan,” kata perusahaan keamanan jaringan dalam sebuah penasihat yang dirilis Kamis. “Ini dicapai melalui membuat tautan simbolik yang menghubungkan sistem file pengguna dan sistem file root dalam folder yang digunakan untuk melayani file bahasa untuk SSL-VPN.”
Fortinet mengatakan modifikasi terjadi dalam sistem file pengguna dan berhasil menghindari deteksi, menyebabkan tautan simbolik (alias symlink) ditinggalkan bahkan setelah lubang keamanan yang bertanggung jawab atas akses awal dicolokkan.
Ini, pada gilirannya, memungkinkan aktor ancaman untuk mempertahankan akses hanya baca ke file pada sistem file perangkat, termasuk konfigurasi. Namun, pelanggan yang tidak pernah mengaktifkan SSL-VPN tidak terpengaruh oleh masalah ini.
Tidak jelas siapa yang berada di balik kegiatan ini, tetapi Fortinet mengatakan penyelidikannya mengindikasikan bahwa itu tidak ditujukan pada wilayah atau industri tertentu. Ia juga mengatakan secara langsung memberi tahu pelanggan yang terpengaruh oleh masalah ini.
Sebagai mitigasi lebih lanjut untuk mencegah masalah seperti itu terjadi lagi, serangkaian pembaruan perangkat lunak ke fortios telah diluncurkan –
- Fortios 7.4, 7.2, 7.0, 6.4 – Symlink ditandai sebagai jahat sehingga secara otomatis dihapus oleh mesin antivirus
- Fortios 7.6.2, 7.4.7, 7.2.11 & 7.0.17, 6.4.16 – Symlink telah dihapus dan SSL -VPN UI telah dimodifikasi untuk mencegah penyajian hubungan simbolik berbahaya seperti itu seperti itu
Pelanggan disarankan untuk memperbarui instance mereka ke versi Fortios 7.6.2, 7.4.7, 7.2.11 & 7.0.17 atau 6.4.16, meninjau konfigurasi perangkat, dan memperlakukan semua konfigurasi yang berpotensi dikompromikan dan melakukan langkah pemulihan yang tepat.
Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) telah mengeluarkan penasihatnya sendiri, mendesak pengguna untuk mengatur ulang kredensial yang terpapar dan mempertimbangkan untuk menonaktifkan fungsionalitas SSL-VPN sampai tambalan dapat diterapkan. Tim tanggap darurat komputer Prancis (CERT-Fr), dalam buletin yang sama, mengatakan pihaknya sadar akan kompromi yang berpacaran kembali ke awal 2023.
Dalam sebuah pernyataan yang dibagikan dengan The Hacker News, CEO Watchtowr Benjamin Harris mengatakan insiden itu menjadi perhatian karena dua alasan penting.
“Pertama, dalam eksploitasi liar menjadi jauh lebih cepat daripada yang dapat ditambal oleh organisasi,” kata Harris. “Yang lebih penting, penyerang terbukti dan sangat menyadari fakta ini.”
“Kedua, dan lebih menakutkan, kami telah melihat, berkali -kali, penyerang mengerahkan kemampuan dan pintu belakang setelah eksploitasi cepat yang dirancang untuk bertahan hidup dari proses penambalan, peningkatan dan reset pabrik yang diandalkan organisasi untuk mengandalkan untuk mengurangi situasi ini untuk mempertahankan kegigihan dan akses ke organisasi yang dikompromikan.”
