Nedávne zistenia odhalili vážne bezpečnostné riziko pre používateľov Fortinet zariadení. Podľa údajov od organizácie Shadowserver Foundation bolo kompromitovaných viac ako 16 000 FortiGate zariadení dostupných z internetu, ktoré obsahujú špeciálne „symlink“ zadné dvierka umožňujúce vzdialený prístup k citlivým súborom – aj po aktualizácii zariadenia.
Čo sa stalo?
Spoločnosť Fortinet minulý týždeň informovala svojich zákazníkov o novom spôsobe, ktorým útočníci dosahujú trvalý prístup na predtým napadnuté zariadenia. Nejde o novú zraniteľnosť – ale o zanechané zadné dvierka po útokoch, ktoré prebiehali už od roku 2023.
Útočníci po preniknutí do zariadenia vytvorili symbolické odkazy (symlinks) v zložke jazykových súborov SSL-VPN služby, ktoré smerovali na koreňový súborový systém. Tieto jazykové súbory sú štandardne verejne prístupné – čo umožnilo prehliadanie obsahu zariadenia aj po tom, čo bola pôvodná zraniteľnosť opravená.
Aké je riziko?
Aj keď boli zariadenia aktualizované na nové verzie FortiOS, symlink mohol zostať neodstránený, čo útočníkom poskytuje read-only prístup k systémovým súborom. Môže ísť napríklad o konfiguračné súbory alebo uložené prihlasovacie údaje.
Ako reagovať?
Spoločnosť Fortinet už:
rozposiela upozornenia majiteľom napadnutých zariadení,
vydala aktualizované AV/IPS signatúry, ktoré symlink detegujú a odstraňujú,
aktualizovala firmware, aby zablokoval prístup k neznámym súborom cez webové rozhranie.
Odporúčania od FONET, spol. s r.o.:
Aktualizujte FortiGate zariadenia na najnovšiu verziu FortiOS.
Spustite bezpečnostné skenovanie s aktuálnymi AV/IPS signatúrami.
Resetujte všetky prihlasovacie údaje a prístupové heslá.
Preverte konfiguráciu zariadení a hľadajte podozrivé symlinks.
Kontaktujte nás pre audit zariadenia a bezpečnostný monitoring.
Potrebujete pomoc alebo chcete overiť svoje Fortinet zariadenia?
Ozvite sa nášmu tímu – zabezpečíme vám kontrolu, odstránenie zadných dvierok a ochranu pred ďalším zneužitím.
Chráňte svoju IT infraštruktúru s odborníkmi. Kontaktujte nás na telefónnom čísle 032/744 3930 alebo emailom na adresu fonet@fonet.sk a pripravte sa na budúce výzvy kybernetického sveta.
