Tin tặc vẫn truy cập vào FortiGate trên các lỗ hổng đã được vá

Theo Fortinet, kẻ tấn công đã khai thác các lỗ hổng bảo mật đã biết và được vá trước đó, bao gồm CVE-2022-42475, CVE-2023-27997 và CVE-2024-21762. Bằng cách lợi dụng các lỗ hổng này, chúng tạo ra một symlink nối giữa hệ thống tập tin người dùng và hệ thống tập tin gốc tại thư mục phục vụ ngôn ngữ cho SSL-VPN.

Fortinet cho biết các thay đổi diễn ra trong hệ thống tập tin người dùng và tránh được phát hiện, dẫn đến việc symlink độc hại vẫn tồn tại sau khi lỗ hổng ban đầu bị vá. Điều này cho phép kẻ tấn công duy trì quyền truy cập chỉ đọc vào các tập tin trên thiết bị, bao gồm cả cấu hình. 

Fortinet khẳng định những khách hàng chưa từng kích hoạt SSL-VPN sẽ không bị ảnh hưởng bởi sự cố này. Hiện vẫn chưa xác định được nhóm tin tặc đứng sau chiến dịch tấn công, nhưng công ty cho biết cuộc điều tra không cho thấy dấu hiệu nhắm vào bất kỳ khu vực hay ngành nghề cụ thể nào. Fortinet đã liên hệ trực tiếp với các khách hàng bị ảnh hưởng.

Để giảm thiểu rủi ro và ngăn chặn các tình huống tương tự, Fortinet đã phát hành các bản cập nhật phần mềm cho FortiOS. Cụ thể: FortiOS 7.4, 7.2, 7.0, 6.4: Liên kết symlink được đánh dấu là mã độc và sẽ bị công cụ antivirus tự động xóa;  FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 và 6.4.16: Symlink bị loại bỏ và giao diện SSL-VPN được chỉnh sửa để ngăn chặn việc phục vụ các liên kết tượng trưng độc hại.

Fortinet khuyến cáo khách hàng cập nhật lên các phiên bản FortiOS mới nhất, kiểm tra lại toàn bộ cấu hình thiết bị và xem tất cả các cấu hình như đã bị xâm phạm, từ đó thực hiện các bước khôi phục phù hợp.