Mais de 14.000 dispositivos da Fortinet em todo o mundo foram comprometidos através da exploração de vulnerabilidades conhecidas e um novo mecanismo de persistência baseado em símbolo, deixando dados sensíveis potencialmente expostos.
A Fundação Shadowsserver relatou que um ator de ameaças explorou vulnerabilidades críticas mais antigas, incluindo CVE-2022-42475, CVE-2023-27997 e CVE-2024-21762, para obter acesso a dispositivos Fortigate. A Fortinet alertou que as organizações de clientes que corrigiram essas vulnerabilidades mais antigas ainda podem ser comprometidas, pois as modificações do Symlink evitavam as detecções do fornecedor e persistiam após atualizações. Um link simbólico, ou um link simbólico, é essencialmente um atalho para um arquivo que fornece aos invasores acesso aos arquivos no dispositivo comprometido.
As últimas digitalizações do ShadowsServer mostraram quase 7.000 dispositivos Fortinet comprometidos na Ásia, com aproximadamente 3.500 e 2.600 na Europa e na América do Norte, respectivamente. Os países com os dispositivos mais comprometidos são os EUA, Japão, Taiwan e China. De acordo com o CISO Carl Windsor, da Fortinet, o mecanismo simplink foi implantado nos sistemas de arquivos de usuários dos dispositivos e fornece acesso somente leitura aos arquivos, que “podem incluir configurações de dispositivo”. O fornecedor de segurança de rede observou que os clientes que nunca permitiram que o SSL-VPNS não são afetados pela atividade de ameaças.
A equipe de resposta a emergências de computadores da Nova Zelândia (CERT NZ) alertou sobre a exploração generalizada das vulnerabilidades da Fortinet, que remonta a 2023. Cert-nz também alertou que o mecanismo simplista pode ter dado acesso ao ator de ameaças a dados altamente sensíveis em dispositivos Fortinet. “O compromisso pode ter permitido ao ator acessar arquivos sensíveis de dispositivos comprometidos, incluindo credenciais e material-chave”, disse o Cert-NZ Advisory.
A equipe de resposta a emergências de computadores da França (CERT-FR) relatou ataques em larga escala utilizando a técnica pós-exploração no país. “O CERT-FR está ciente de uma campanha maciça envolvendo inúmeros dispositivos comprometidos na França. Durante as operações de resposta a incidentes, o CERT-FR soube de compromissos que ocorrem desde o início de 2023”, disse a agência em seu aviso. A Fortinet se comunicou diretamente com os clientes que foram afetados pela atividade de ameaças e divulgou atualizações e mitigações que podem detectar e remover o symlink dos sistemas de arquivos dos dispositivos e impedir que sejam reimplantados.
O CERT-FR enfatizou que a aplicação de atualizações e a remoção do symlink maliciosa “não é suficiente no caso de um compromisso”. A agência instou esses clientes a isolar dispositivos comprometidos de suas redes e executar um “congelamento de dados” para investigar a atividade maliciosa; redefinir todos os segredos em dispositivos afetados, como senhas e certificados; e redefinir todos os segredos de autenticação que podem ter sido transmitidos através dos dispositivos comprometidos.
Source: Dispositivos Fortinet hackeados por ataque simplink, dados em risco
