A Fortinet emitiu um novo alerta de segurança cibernética ao identificar que atacantes conseguiram manter um nível de acesso nos dispositivos FortiGate, mesmo após a aplicação de patches que corrigiram as vulnerabilidades originalmente exploradas.
Fortinet detecta técnica de invasores para manter acesso aos dispositivos FortiGate, mesmo após correções aplicadas
Segundo a empresa, os agentes maliciosos exploraram falhas previamente conhecidas — como as CVEs CVE-2022-42475, CVE-2023-27997 e CVE-2024-21762 — para inserir um link simbólico (symlink) que conectava o sistema de arquivos do usuário ao sistema de arquivos raiz. Essa manipulação foi realizada em um diretório utilizado para armazenar arquivos de idioma relacionados à função SSL-VPN, permitindo um acesso de leitura às configurações do sistema.
Apesar de o acesso ser restrito a leitura, essa persistência representa um risco significativo. Os links simbólicos inseridos pelos invasores permaneceram mesmo após a atualização do sistema, escapando das rotinas padrão de detecção.
A Fortinet destacou que dispositivos que nunca ativaram a funcionalidade SSL-VPN não estão vulneráveis a esse método de ataque.
Atualizações de segurança implementadas
Para mitigar a técnica identificada, a Fortinet lançou múltiplas atualizações para o FortiOS. As ações tomadas incluem:
- Versões FortiOS 7.4, 7.2, 7.0 e 6.4: o symlink malicioso passou a ser automaticamente removido pelo mecanismo antivírus integrado.
- Versões FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 e 6.4.16: além da remoção do symlink, foram feitas mudanças na interface da SSL-VPN para evitar que arquivos com esse comportamento malicioso sejam processados.
Recomendações aos usuários
A Fortinet reforça que os administradores devem atualizar seus dispositivos imediatamente para as versões corrigidas. Também é aconselhado revisar cuidadosamente todas as configurações salvas nos dispositivos, tratá-las como potencialmente comprometidas e realizar os procedimentos de recuperação sugeridos.
A CISA (Agência de Segurança Cibernética dos EUA) recomendou, adicionalmente, que credenciais possivelmente expostas sejam redefinidas e que o uso da SSL-VPN seja temporariamente desativado até a aplicação completa das atualizações.
De forma semelhante, o CERT-FR, da França, indicou que observações de comprometimentos relacionados a essa técnica remontam ao início de 2023, o que reforça a necessidade de atenção contínua com atualizações e monitoramento.
Persistência além dos patches
O CEO da empresa de segurança watchTowr, Benjamin Harris, alertou que o episódio destaca um problema crescente: os invasores têm sido mais rápidos na exploração do que as empresas na correção. Além disso, ele salientou que a criação de mecanismos de persistência — como backdoors — após a exploração inicial é uma tendência clara e preocupante.
Segundo Harris, a equipe da watchTowr já identificou implantações de backdoors em sua base de clientes, incluindo organizações que integram setores considerados críticos para a infraestrutura nacional.