Mais de 16.000 dispositivos Fortinet expostos na internet foram detectados como comprometidos com um novo backdoor do tipo symlink que permite acesso somente leitura a arquivos sensíveis em dispositivos previamente comprometidos.
Essa exposição está sendo relatada pela plataforma de monitoramento de ameaças The Shadowserver Foundation, que inicialmente relatou que 14.000 dispositivos estavam expostos.
Na semana passada, a Fortinet alertou seus clientes de que havia descoberto um novo mecanismo de persistência utilizado por um ator de ameaças para manter o acesso remoto somente leitura a arquivos no sistema de arquivos root de dispositivos FortiGate previamente comprometidos, mas agora patcheados.
A Fortinet disse que isso não ocorreu através da exploração de novas vulnerabilidades, mas está, em vez disso, ligado a ataques que começaram em 2023 e continuaram em 2024, onde um ator de ameaças utilizou zero-days para comprometer dispositivos FortiOS.
Depois de ganharem acesso aos dispositivos, eles criaram links simbólicos na pasta de arquivos de idiomas para o sistema de arquivos root em dispositivos com SSL-VPN habilitado.
Como os arquivos de idiomas estão publicamente acessíveis em dispositivos FortiGate com SSL-VPN habilitado, o ator de ameaças poderia navegar até essa pasta e ganhar acesso persistente de leitura ao sistema de arquivos root, mesmo após as vulnerabilidades iniciais serem patcheadas.
"Um ator de ameaças usou uma vulnerabilidade conhecida para implementar acesso somente leitura a dispositivos FortiGate vulneráveis. Isso foi alcançado criando um link simbólico conectando o sistema de arquivos do usuário e o sistema de arquivos root em uma pasta usada para servir arquivos de idiomas para o SSL-VPN. Essa modificação ocorreu no sistema de arquivos do usuário e evitou detecção", disse a Fortinet.
Portanto, mesmo que o dispositivo do cliente tenha sido atualizado com versões do FortiOS que abordaram as vulnerabilidades originais, esse link simbólico pode ter sido deixado para trás, permitindo que o ator de ameaças mantenha acesso somente leitura aos arquivos no sistema de arquivos do dispositivo, que pode incluir configurações.
Este mês, a Fortinet começou a notificar clientes privadamente por e-mail sobre dispositivos FortiGate detectados pelo FortiGuard como sendo comprometidos com este backdoor de symlink.
A Fortinet lançou uma assinatura AV/IPS atualizada que detectará e removerá este link simbólico malicioso de dispositivos comprometidos.
A versão mais recente do firmware também foi atualizada para detectar e remover o link.
A atualização também impede que arquivos e pastas desconhecidos sejam servidos pelo servidor web embutido.
Finalmente, se um dispositivo foi detectado como comprometido, é possível que os atores de ameaças tivessem acesso aos arquivos de configuração mais recentes, incluindo credenciais.
Portanto, todas as credenciais devem ser redefinidas, e os administradores devem seguir os outros passos neste guia.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...