Ciberseguridad 360 | Fortinet advierte que hackers conservan el acceso a FortiGate parcheadas mediante enlace simbólico SSL-VPN

Fortinet ha revelado que los actores de amenazas han encontrado una manera de mantener el acceso de s�lo lectura a los dispositivos FortiGate vulnerables, incluso despu�s de que el vector de acceso inicial utilizado para violar los dispositivos fue parcheado.

Se cree que los atacantes han aprovechado fallos de seguridad conocidos y ya parcheados, entre los que se incluyen CVE-2022-42475, CVE-2023-27997 y CVE-2024-21762.

"Un actor de amenazas utiliz� una vulnerabilidad conocida para implementar el acceso de s�lo lectura a los dispositivos FortiGate vulnerables", dijo la compa��a de seguridad de red en un aviso publicado el jueves. "Esto se logr� mediante la creaci�n de un enlace simb�lico que conecta el sistema de archivos del usuario y el sistema de archivos ra�z en una carpeta utilizada para servir archivos de idioma para el SSL-VPN".

Seg�n Fortinet, las modificaciones tuvieron lugar en el sistema de archivos del usuario y lograron eludir la detecci�n, haciendo que el enlace simb�lico (tambi�n conocido como symlink) permaneciera incluso despu�s de que se taparan los agujeros de seguridad responsables del acceso inicial.

Esto, a su vez, permiti� a los actores de la amenaza mantener el acceso de s�lo lectura a los archivos del sistema de archivos del dispositivo, incluidas las configuraciones. Sin embargo, los clientes que nunca han activado SSL-VPN no se ven afectados por el problema.

No est� claro qui�n est� detr�s de la actividad, pero Fortinet dijo que su investigaci�n indic� que no estaba dirigida a ninguna regi�n o industria espec�fica. Tambi�n dijo que notific� directamente a los clientes que se vieron afectados por el problema.

Para evitar que estos problemas se repitan, se han lanzado una serie de actualizaciones de software de FortiOS:

FortiOS 7.4, 7.2, 7.0 y 6.4: el enlace simb�lico se ha marcado como malicioso para que el motor antivirus lo elimine autom�ticamente.

FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 y 6.4.16: el enlace simb�lico se ha eliminado y la interfaz de usuario de SSL-VPN se ha modificado para evitar que se sirvan estos enlaces simb�licos maliciosos.

Se aconseja a los clientes que actualicen sus instancias a las versiones 7.6.2, 7.4.7, 7.2.11, 7.0.17 o 6.4.16 de FortiOS, revisen las configuraciones de los dispositivos y traten todas las configuraciones como potencialmente comprometidas y lleven a cabo los pasos de recuperaci�n adecuados.

La Agencia Estadounidense de Ciberseguridad y Seguridad de las Infraestructuras (CISA) ha emitido su propio aviso, instando a los usuarios a restablecer las credenciales expuestas y a considerar la desactivaci�n de la funcionalidad SSL-VPN hasta que se puedan aplicar los parches. El Equipo de Respuesta a Emergencias Inform�ticas de Francia (CERT-FR), en un bolet�n similar, afirma que tiene constancia de casos que se remontan a principios de 2023.

En un comunicado compartido con The Hacker News, el CEO de watchTowr, Benjamin Harris, dijo que el incidente es preocupante por dos razones importantes.

"En primer lugar, en la explotaci�n salvaje se est� convirtiendo en significativamente m�s r�pido que las organizaciones pueden parchear", dijo Harris. "M�s importante a�n, los atacantes son demostrable y profundamente conscientes de este hecho".

"En segundo lugar, y m�s aterrador, hemos visto, en numerosas ocasiones, que los atacantes despliegan capacidades y puertas traseras despu�s de la explotaci�n r�pida dise�adas para sobrevivir a los procesos de parcheo, actualizaci�n y restablecimiento de f�brica en los que las organizaciones han llegado a confiar para mitigar estas situaciones para mantener la persistencia y el acceso a las organizaciones comprometidas."

Harris tambi�n dijo que se han identificado despliegues de puertas traseras en toda la base de clientes de watchTowr, y que est�n "viendo el impacto en organizaciones que muchos llamar�an claramente infraestructuras cr�ticas."

Fuente: thehackernews