Πάνω από 16.000 συσκευές Fortinet που εκτέθηκαν στο Διαδίκτυο έχουν ανιχνευθεί ως συμβιβασμένα με ένα νέο backdoor Symlink που επιτρέπει μόνο την πρόσβαση σε ευαίσθητα αρχεία σε αρχεία που έχουν συμβιβαστεί προηγουμένως.
Αυτή η έκθεση αναφέρεται από την πλατφόρμα παρακολούθησης απειλών Το Ίδρυμα Shadowserver, το οποίο αρχικά ανέφερε ότι 14.000 συσκευές εκτέθηκαν.
Σήμερα, ο Piotr Kijewski του Shadowserver δήλωσε στον BleePingComputer ότι ο οργανισμός στον κυβερνοχώρο ανιχνεύει τώρα 16.620 συσκευές που επηρεάζεται από τον πρόσφατα αποκάλυψε μηχανισμό εμμονής.
Την περασμένη εβδομάδα, η Fortinet προειδοποίησε τους πελάτες ότι είχαν ανακαλύψει έναν νέο μηχανισμό εμμονής που χρησιμοποίησε ένας ηθοποιός απειλής για να διατηρήσει μόνο την απομακρυσμένη πρόσβαση σε αρχεία στο σύστημα αρχείων ρίζας των προηγουμένως συμβιβασμένων, αλλά τώρα patched συσκευές Fortigate.
Η Fortinet δήλωσε ότι αυτό δεν ήταν μέσω της εκμετάλλευσης νέων τρωτών σημείων, αλλά συνδέεται αντίθετα με επιθέσεις που ξεκινούν το 2023 και συνεχίζοντας το 2024, όπου ένας ηθοποιός απειλής χρησιμοποίησε μηδενικές ημέρες για να συμβιβαστεί οι συσκευές Fortios.
Μόλις αποκτήσουν πρόσβαση στις συσκευές, δημιούργησαν συμβολικούς συνδέσμους στο φάκελο αρχείων γλώσσας στο σύστημα αρχείων ρίζας σε συσκευές με ενεργοποιημένη το SSL-VPN. Καθώς τα αρχεία γλώσσας είναι προσβάσιμα στο κοινό σε συσκευές FortiGate με ενεργοποιημένη το SSL-VPN, ο ηθοποιός απειλής θα μπορούσε να περιηγηθεί σε αυτόν τον φάκελο και να αποκτήσει επίμονη πρόσβαση ανάγνωσης στο σύστημα αρχείων ριζών, ακόμη και μετά την επιβολή των αρχικών τρωτών σημείων.
“Ένας ηθοποιός απειλής χρησιμοποίησε μια γνωστή ευπάθεια για την εφαρμογή πρόσβασης μόνο για ανάγνωση σε ευάλωτες συσκευές FortiGate, αυτό επιτεύχθηκε μέσω της δημιουργίας ενός συμβολικού συνδέσμου που συνδέει το σύστημα αρχείων χρήστη και το σύστημα αρχείων ρίζας σε ένα φάκελο που χρησιμοποιείται για την εξυπηρέτηση αρχείων γλώσσας για το SSL-VPN. Είπε ο Fortinet.
“Ως εκ τούτου, ακόμη και αν η συσκευή πελάτη ενημερώθηκε με εκδόσεις Fortios που αφορούσαν τις αρχικές ευπάθειες, αυτός ο συμβολικός σύνδεσμος μπορεί να έχει μείνει πίσω, επιτρέποντας στον ηθοποιό απειλής να διατηρήσει μόνο την πρόσβαση σε αρχεία στο σύστημα αρχείων της συσκευής, τα οποία μπορεί να περιλαμβάνουν διαμορφώσεις”.
Αυτό το μήνα, η Fortinet άρχισε να ειδοποιεί τους πελάτες ιδιωτικά μέσω ηλεκτρονικού ταχυδρομείου σχετικά με τις συσκευές FortiGate που εντοπίστηκαν από την Fortiguard ως διακυβευόμενη με αυτό το symlink backdoor.
Πηγή: BleepingComputer
Η Fortinet κυκλοφόρησε μια ενημερωμένη υπογραφή AV/IPS που θα εντοπίσει και θα αφαιρέσει αυτόν τον κακόβουλο συμβολικό σύνδεσμο από συμβιβασμένες συσκευές. Η τελευταία έκδοση του υλικολογισμικού έχει επίσης ενημερωθεί για την ανίχνευση και την κατάργηση του συνδέσμου. Η ενημέρωση εμποδίζει επίσης τα άγνωστα αρχεία και τους φακέλους από το να εξυπηρετούνται από τον ενσωματωμένο webserver.
Τέλος, εάν μια συσκευή ανιχνεύθηκε ως συμβιβασμένη, είναι πιθανό οι ηθοποιοί απειλής να έχουν πρόσβαση στα τελευταία αρχεία ρυθμίσεων, συμπεριλαμβανομένων των διαπιστευτηρίων.
Επομένως, όλα τα διαπιστευτήρια πρέπει να επαναφέρονται και οι διαχειριστές πρέπει να ακολουθήσουν τα άλλα βήματα Αυτός ο οδηγός.
VIA: bleepingcomputer.com
