<div id="post_message_797470">

Да, уязвимость закрыта. Но последствия живут месяцами…<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://dl3.joxi.net/drive/2025/06/15/0048/3474/3202450/50/8887755205.jpg"/><br/>
<br/>
Компания Fortinet предупредила: даже после установки всех обновлений злоумышленники могут сохранять доступ к устройствам <a href="https://www.securitylab.ru/news/518019.php" target="_blank">FortiGate VPN</a> . Речь не о новой уязвимости, а о методе, который позволяет хакерам незаметно остаться в системе, используя незакрытые «хвосты» от прежних атак.<br/>
<br/>
На днях <a href="https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity" target="_blank">Fortinet </a>начала рассылать клиентам письма с тревожным заголовком: «Обнаружена компрометация устройства — FortiGate / FortiOS — ** Требуются срочные действия **». Сообщения получили маркировку TLP:AMBER+STRICT, что ограничивает их распространение внутри организаций. Повод для беспокойства — данные телеметрии с устройств FortiGuard, на которых были замечены признаки присутствия стороннего кода.<br/>
<br/>
Из писем становилось ясно: проблема не связана с каким-то новым багом. Речь шла о следах, оставленных в системе после эксплуатации уже известных уязвимостей, включая CVE-2022-42475, CVE-2023-27997 и CVE-2024-21762. Даже после того как бреши были закрыты и прошивки обновлены, вредоносные элементы могли остаться нетронутыми.<br/>
<br/>
Когда журналисты обратились за разъяснениями, Fortinet выпустила официальное заявление. В нём компания рассказала о технике, которой пользовались атакующие: в процессе взлома они создавали <a href="https://www.securitylab.ru/news/536882.php" target="_blank">символьную ссылку</a> в директории языковых файлов веб-интерфейса SSL-VPN. Эта ссылка связывала пользовательскую область с корневой системой, и благодаря ей злоумышленники получали возможность читать содержимое файлов даже после «выдворения» из системы.<br/>
<br/>
Главный нюанс в том, что размещённый файл выглядел вполне легитимным — ведь папка с языковыми файлами регулярно используется системой. Таким образом, вредоносный объект оказывался в тени, не вызывая подозрений ни у администратора, ни у защитных решений.<br/>
<br/>
Благодаря такому обходному ходу хакеры могли продолжать отслеживать изменения конфигурации, просматривать системные файлы и наблюдать за устройством — пусть и без возможности что-либо менять. По сути, это форма пассивного доступа, оставленного на случай будущей активности или сбора данных.<br/>
<br/>
Угроза оказалась не новой: как выяснилось, подобные атаки проводились как минимум с начала 2023 года. Об этом сообщило французское агентство CERT-FR, которое входит в структуру ANSSI — национальной службы информационной безопасности. Там подтвердили, что речь идёт о масштабной кампании, затронувшей большое количество устройств внутри страны.<br/>
<br/>
По словам аналитиков CERT-FR, во многих инцидентах, расследованных в течение последнего года, встречались одни и те же признаки: та же символьная ссылка, тот же путь через SSL-VPN и те же следы на уровнях, где администраторы обычно не ожидают подвоха. В ряде случаев вредонос оставался в системе месяцами, прежде чем его замечали.<br/>
<br/>
Американское агентство CISA также призвало специалистов сообщать обо всех подобных случаях. Любые странности, связанные с FortiGate, рекомендуется немедленно передавать в круглосуточный операционный центр CISA через email <a href="mailto:[email protected]">[email protected]</a> или по телефону (888) 282-0870.<br/>
<br/>
Чтобы убрать закладку, Fortinet рекомендует обновить прошивку до одной из последних версий FortiOS: 7.6.2, 7.4.7, 7.2.11, 7.0.17 или 6.4.16. Эти сборки, помимо устранения старых уязвимостей, автоматически удаляют вредоносные файлы, включая символьные ссылки.<br/>
<br/>
Также администраторов просят внимательно проверить конфигурацию устройств. Особое внимание стоит уделить нестандартным изменениям — например, странным путям, дополнительным ссылкам в служебных директориях или подозрительным языковым файлам. <a href="https://www.securitylab.ru/news/515284.php" target="_blank">Fortinet опубликовала</a> отдельную инструкцию по восстановлению безопасности и сбросу учётных данных на скомпрометированных устройствах.<br/>
<br/>
CERT-FR в свою очередь советует дополнить эти действия следующими шагами: временно изолировать потенциально заражённые устройства от остальной сети, полностью обновить все секреты (включая пароли, токены, сертификаты и криптографические ключи), а также проверить инфраструктуру на признаки бокового перемещения — хакеры могли использовать доступ к FortiGate как трамплин для атаки на другие сегменты сети.<br/>
<br/>
Хотя метод доступа предоставляет только права на чтение, даже этого достаточно, чтобы получить критически важную информацию о структуре сети и конфигурации. Особенно если учесть, что FortiGate часто используется как центральный элемент защиты — и компрометация его настроек даёт ценнейшие зацепки для следующей атаки.<br/>
<br/>
Суть в том, что вредоносный файл не блокировал работу устройства и не нарушал его функции — именно поэтому он мог оставаться незамеченным месяцами. На фоне активного обновления ПО и устранения уязвимостей многие компании просто не проверяли те области, где находилась символьная ссылка.<br/>
<br/>
Эта история — напоминание о том, что не каждую угрозу можно устранить установкой патча. Хакеры всё чаще ищут не просто брешь, а способ «записаться» в систему, чтобы вернуться позже. Иногда достаточно одного небольшого файла в неприметной папке, чтобы наблюдать за системой изнутри — даже если кажется, что <a href="https://www.securitylab.ru/news/514240.php" target="_blank">взлом давно</a> в прошлом.<br/>
<br/>
<a href="https://www.securitylab.ru/news/560397.php" target="_blank">@ SecurityLab.ru </a>
</div>