Fortinet ha revelado que actores de amenazas han encontrado una manera de
mantener el acceso de solo lectura a dispositivos FortiGate vulnerables,
incluso después de que se parcheara el vector de acceso inicial utilizado para
vulnerarlos.
Se cree que los atacantes aprovecharon vulnerabilidades de seguridad conocidas
y ahora parcheadas, incluyendo, entre otras, CVE-2022-42475, CVE-2023-27997, y CVE-2024-21762.
«Un actor de amenazas utilizó una vulnerabilidad conocida para implementar
acceso de solo lectura a dispositivos FortiGate vulnerables», declaró la compañía en un
aviso publicado
el jueves.
«Esto se logró mediante la creación de un enlace simbólico que conectaba el
sistema de archivos del usuario con el sistema de archivos raíz en una
carpeta utilizada para servir archivos de idioma para SSL-VPN».
Fortinet afirmó que las modificaciones se realizaron en el sistema de archivos
del usuario y lograron evadir la detección, lo que provocó que el enlace
simbólico (también conocido como symlink) permaneciera incluso después
de que se solucionaran las vulnerabilidades de seguridad responsables del
acceso inicial.
Esto, a su vez, permitió a los actores de amenazas mantener acceso de solo
lectura a los archivos del sistema de archivos del dispositivo, incluidas las
configuraciones. Sin embargo,
los clientes que nunca han habilitado SSL-VPN no se ven afectados por el
problema.
No está claro quién está detrás de la actividad, pero Fortinet afirmó que su
investigación indicó que no se dirigía a ninguna región o industria
específica. También indicó que notificó directamente a los clientes afectados
por el problema.
Como medidas adicionales para evitar que estos problemas vuelvan a ocurrir, se
han implementado una serie de actualizaciones de software para FortiOS:
-
FortiOS 7.4, 7.2, 7.0, 6.4: El enlace simbólico se marcó como malicioso, por
lo que el motor antivirus lo eliminó automáticamente. -
FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 y 6.4.16: Se eliminó el enlace
simbólico y se modificó la interfaz de usuario de SSL-VPN para evitar la
publicación de estos enlaces simbólicos maliciosos.
Se recomienda a los clientes que actualicen sus instancias a las versiones
7.6.2, 7.4.7, 7.2.11, 7.0.17 o 6.4.16 de FortiOS, revisen las configuraciones de los dispositivos, las consideren
potencialmente comprometidas y realicen las
acciones de recuperación adecuadas.
CISA ha emitido un
aviso propio, instando a los usuarios a restablecer las credenciales expuestas y a
considerar la desactivación de la funcionalidad SSL-VPN hasta que se puedan
aplicar los parches. El Equipo de Respuesta a Emergencias Informáticas de
Francia (CERT-FR), en un
boletín similar, afirmó tener conocimiento de vulnerabilidades que se remontan a principios
de 2023.
Fuente:
THN