Захлопнули дверь, забыли про окна: обновленный FortiGate продолжает сливать данные шпионам

Исследователи обнаружили очередную масштабную атаку на корпоративные VPN-устройства FortiGate, используемые компаниями для защищённого удалённого доступа к своим сетям. Хакеры применили хитроумную технику , которая позволяет им тайно читать данные с заражённых устройств даже после того, как администраторы обнаружили взлом и установили все необходимые обновления безопасности.

О серьёзности ситуации свидетельствует экстренная рассылка, которую производитель оборудования Fortinet начал проводить на этой неделе. Компания направила своим клиентам конфиденциальные уведомления с грифом TLP:AMBER+STRICT, означающим, что информация предназначена только для ограниченного круга специалистов по безопасности. На основе данных от инструментов мониторинга FortiGuard было выявлен множество случаев компрометации устройств.

В письмах с заголовком "Уведомление о компрометации устройства - FortiGate / FortiOS - ** Требуются срочные действия **" компания пояснила: проблема связана не с новыми уязвимостями, а с последствиями прошлых атак. Хакеры ранее использовали известные бреши в защите (CVE-2022-42475, CVE-2023-27997 и CVE-2024-21762), чтобы проникнуть в системы. Однако теперь выяснилось, что после взлома они оставляли в устройствах скрытый механизм для дальнейшего доступа.

В папке, где хранятся языковые пакеты VPN-устройств, злоумышленники создавали особые символические ссылки. Эти ссылки вели к корневой файловой системе FortiGate с активированным SSL-VPN и располагались в пользовательском разделе, где стандартные инструменты проверки безопасности их не замечали. Таким образом в поле зрения хакеров попадали конфигурационные файлы и другие критические данные.

Масштаб проблемы оказался очень даже внушительным. Французский Центр реагирования на компьютерные инциденты (CERT-FR), входящий в состав ANSSI, сообщил о массовой кампании против местных пользователей, начавшейся ещё в начале 2023 года. По данным центра, атакам подверглось большое количество устройств на территории страны.

Американское Агентство по кибербезопасности и защите инфраструктуры (CISA) призвало специалистов по сетевой безопасности докладывать о любых инцидентах и подозрительной активности, связанной с этими атаками. Круглосуточный операционный центр агентства принимает сообщения по электронной почте Report@cisa.gov или телефону.

Для защиты от атак Fortinet рекомендует срочно обновить прошивку межсетевых экранов до последних версий FortiOS: 7.6.2, 7.4.7, 7.2.11, 7.0.17 или 6.4.16. Это поможет удалить вредоносные файлы, используемые хакерами для сохранения доступа. Админам необходимо тщательно проверить настройки устройств на предмет несанкционированных изменений. Компания также выпустила специальное руководство по сбросу потенциально скомпрометированных учётных данных.

Также советуют изолировать заражённые VPN-устройства от сети и выполнить полный сброс всех секретных данных — учётных записей, сертификатов, токенов идентификации и криптографических ключей. Особое внимание следует уделить поиску следов lateral movement — попыток злоумышленников распространить заражение на другие участки корпоративной сети.