Fortinet: зловреды могут оставаться в FortiGate даже после патчей

[Artifact]

Да, уязвимость закрыта. Но последствия живут месяцами…







Компания Fortinet предупредила: даже после установки всех обновлений злоумышленники могут сохранять доступ к устройствам FortiGate VPN . Речь не о новой уязвимости, а о методе, который позволяет хакерам незаметно остаться в системе, используя незакрытые «хвосты» от прежних атак.



На днях Fortinet начала рассылать клиентам письма с тревожным заголовком: «Обнаружена компрометация устройства — FortiGate / FortiOS — ** Требуются срочные действия **». Сообщения получили маркировку TLP:AMBER+STRICT, что ограничивает их распространение внутри организаций. Повод для беспокойства — данные телеметрии с устройств FortiGuard, на которых были замечены признаки присутствия стороннего кода.



Из писем становилось ясно: проблема не связана с каким-то новым багом. Речь шла о следах, оставленных в системе после эксплуатации уже известных уязвимостей, включая CVE-2022-42475, CVE-2023-27997 и CVE-2024-21762. Даже после того как бреши были закрыты и прошивки обновлены, вредоносные элементы могли остаться нетронутыми.



Когда журналисты обратились за разъяснениями, Fortinet выпустила официальное заявление. В нём компания рассказала о технике, которой пользовались атакующие: в процессе взлома они создавали символьную ссылку в директории языковых файлов веб-интерфейса SSL-VPN. Эта ссылка связывала пользовательскую область с корневой системой, и благодаря ей злоумышленники получали возможность читать содержимое файлов даже после «выдворения» из системы.



Главный нюанс в том, что размещённый файл выглядел вполне легитимным — ведь папка с языковыми файлами регулярно используется системой. Таким образом, вредоносный объект оказывался в тени, не вызывая подозрений ни у администратора, ни у защитных решений.



Благодаря такому обходному ходу хакеры могли продолжать отслеживать изменения конфигурации, просматривать системные файлы и наблюдать за устройством — пусть и без возможности что-либо менять. По сути, это форма пассивного доступа, оставленного на случай будущей активности или сбора данных.



Угроза оказалась не новой: как выяснилось, подобные атаки проводились как минимум с начала 2023 года. Об этом сообщило французское агентство CERT-FR, которое входит в структуру ANSSI — национальной службы информационной безопасности. Там подтвердили, что речь идёт о масштабной кампании, затронувшей большое количество устройств внутри страны.



По словам аналитиков CERT-FR, во многих инцидентах, расследованных в течение последнего года, встречались одни и те же признаки: та же символьная ссылка, тот же путь через SSL-VPN и те же следы на уровнях, где администраторы обычно не ожидают подвоха. В ряде случаев вредонос оставался в системе месяцами, прежде чем его замечали.



Американское агентство CISA также призвало специалистов сообщать обо всех подобных случаях. Любые странности, связанные с FortiGate, рекомендуется немедленно передавать в круглосуточный операционный центр CISA через email [email protected] или по телефону (888) 282-0870.



Чтобы убрать закладку, Fortinet рекомендует обновить прошивку до одной из последних версий FortiOS: 7.6.2, 7.4.7, 7.2.11, 7.0.17 или 6.4.16. Эти сборки, помимо устранения старых уязвимостей, автоматически удаляют вредоносные файлы, включая символьные ссылки.



Также администраторов просят внимательно проверить конфигурацию устройств. Особое внимание стоит уделить нестандартным изменениям — например, странным путям, дополнительным ссылкам в служебных директориях или подозрительным языковым файлам. Fortinet опубликовала отдельную инструкцию по восстановлению безопасности и сбросу учётных данных на скомпрометированных устройствах.



CERT-FR в свою очередь советует дополнить эти действия следующими шагами: временно изолировать потенциально заражённые устройства от остальной сети, полностью обновить все секреты (включая пароли, токены, сертификаты и криптографические ключи), а также проверить инфраструктуру на признаки бокового перемещения — хакеры могли использовать доступ к FortiGate как трамплин для атаки на другие сегменты сети.



Хотя метод доступа предоставляет только права на чтение, даже этого достаточно, чтобы получить критически важную информацию о структуре сети и конфигурации. Особенно если учесть, что FortiGate часто используется как центральный элемент защиты — и компрометация его настроек даёт ценнейшие зацепки для следующей атаки.



Суть в том, что вредоносный файл не блокировал работу устройства и не нарушал его функции — именно поэтому он мог оставаться незамеченным месяцами. На фоне активного обновления ПО и устранения уязвимостей многие компании просто не проверяли те области, где находилась символьная ссылка.



Эта история — напоминание о том, что не каждую угрозу можно устранить установкой патча. Хакеры всё чаще ищут не просто брешь, а способ «записаться» в систему, чтобы вернуться позже. Иногда достаточно одного небольшого файла в неприметной папке, чтобы наблюдать за системой изнутри — даже если кажется, что взлом давно в прошлом.



@ SecurityLab.ru