Чем новее прошивка FortiOS, тем дольше живёт старый Zero‑Day‑след: бэкдор упрямо переживает апгрейды
Как файловая ссылка победила обновление.
Почти 17 000 устройств Fortinet, подключённых к интернету, оказались заражены скрытым бэкдором, позволяющим злоумышленникам просматривать чувствительные файлы в режиме «только чтение». Речь идёт о тех устройствах, которые ранее уже подвергались атаке, а затем были обновлены. Тем не менее, несмотря на установленные обновления безопасности, доступ к файловой системе сохранился за атакующими.
Об инциденте сообщил Shadowserver Foundation. Изначально было зафиксировано более 14 000 уязвимых устройств, однако позднее количество возросло до 16 620 . По словам представителя организации, отслеживаемая угроза распространилась быстрее, чем предполагалось.
Компания Fortinet недавно уведомила клиентов о новой скрытой технике сохранения доступа, при которой злоумышленник создаёт символическую ссылку (симлинк) между пользовательской и корневой файловыми системами. Это происходит в папке, предназначенной для языковых файлов, которая автоматически становится доступной из интернета на устройствах с включённым SSL-VPN. После такой манипуляции атакующий может просматривать содержимое всей файловой системы, включая конфигурационные файлы, даже если сама уязвимость уже устранена обновлениями.
Особенность метода заключается в том, что модификация происходит не в системной области, а в пользовательской, за счёт чего остаётся вне зоны контроля стандартных проверок. Это означает, что даже после установки обновлений FortiOS уязвимость продолжает существовать в виде оставленной символической ссылки, через которую атакующий сохраняет доступ к конфиденциальной информации.
Источник угрозы — кампания, начавшаяся ещё в 2023 году. Тогда хакеры использовали несколько Zero-Day для взлома устройств FortiGate, а позже перешли к механизму сохранения доступа. На текущем этапе Fortinet связывается с владельцами уязвимых устройств напрямую, информируя их по электронной почте о необходимости принять срочные меры.
В качестве противодействия Fortinet уже обновила антивирусные и IPS-сигнатуры, способные обнаруживать и удалять вредоносные символические ссылки. Кроме того, новая прошивка блокирует возможность обработки веб-сервером любых неизвестных файлов и каталогов, которые не предусмотрены штатной конфигурацией.
Несмотря на это, факт компрометации означает потенциальную утечку конфигурационных файлов, включая пароли. В связи с этим Fortinet настоятельно рекомендует сбросить все учётные данные и внимательно следовать официальной инструкции по восстановлению безопасности.