Fortinet alerta: hackers mantêm acesso a dispositivos FortiGate mesmo após correções via exploração de symlink no SSL-VPN

A Fortinet revelou que hackers conseguiram manter acesso de leitura a dispositivos FortiGate vulneráveis, mesmo após a aplicação de correções nas falhas originalmente exploradas.

Segundo a empresa, os invasores exploraram vulnerabilidades conhecidas e já corrigidas, incluindo, mas não se limitando a, CVE-2022-42475, CVE-2023-27997 e CVE-2024-21762.

“Um hacker utilizou uma falha conhecida para estabelecer acesso de leitura em dispositivos FortiGate vulneráveis,” afirmou a Fortinet em comunicado. “Isso foi possível através da criação de um link simbólico (symlink) que conectava o sistema de arquivos do usuário ao sistema de arquivos raiz, em uma pasta usada para fornecer arquivos de idioma do SSL-VPN.”

Essas alterações ocorreram no sistema de arquivos do usuário, o que dificultou a detecção. Mesmo após a correção das vulnerabilidades, o symlink malicioso permanecia ativo, permitindo que os hackers acessassem arquivos importantes do sistema, incluindo configurações. No entanto, dispositivos que nunca tiveram o SSL-VPN ativado não foram afetados.

A Fortinet afirmou que a atividade não parece estar direcionada a uma região ou setor específico e notificou diretamente os clientes impactados.

Como medidas adicionais, atualizações do FortiOS foram lançadas para eliminar o symlink e impedir futuras explorações:

• FortiOS 7.4, 7.2, 7.0 e 6.4: o symlink foi classificado como malicioso e é removido automaticamente pelo mecanismo antivírus.

• FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 e 6.4.16: além de remover o symlink, a interface do SSL-VPN foi modificada para impedir a exposição a novos links maliciosos.

Clientes devem atualizar para essas versões imediatamente, revisar as configurações dos dispositivos e tratá-las como potencialmente comprometidas, adotando medidas de recuperação adequadas.

A CISA (Agência de Cibersegurança e Segurança de Infraestrutura dos EUA) também publicou um alerta, recomendando redefinir credenciais expostas e considerar a desativação do SSL-VPN até a aplicação completa das correções. O CERT-FR (França) informou ter conhecimento de compromissos similares desde o início de 2023.

Benjamin Harris, CEO da watchTowr, destacou que o incidente é preocupante por dois motivos principais: “Primeiro, as explorações em ambientes reais estão acontecendo mais rápido do que as organizações conseguem aplicar correções. Segundo, e mais preocupante, já vimos diversas vezes hackers implantarem backdoors após explorações rápidas, com o objetivo de manter o acesso mesmo após atualizações, correções ou até redefinições de fábrica.”

Via - THN