Stare luki w Fortinet wciąż aktywne. Poprawki nic nie dały

Firma Fortinet, znana z rozwiązań zabezpieczających sieci i systemy, przyznała, że atakujący znaleźli nowe metody wykorzystania trzech luk bezpieczeństwa, które według producenta zostały już załatane w ubiegłym roku. 

W opublikowanym w czwartek komunikacie Fortinet ujawnił, że nieznani cyberprzestępcy uzyskali trwały dostęp do urządzeń FortiGate i FortiOS, wykorzystując wcześniej znane luki w zabezpieczeniach. Co istotne, dwie z nich były wcześniej wykorzystywane przez grupę hakerską Void Typhoon, którą analitycy łączą z rządem Chin.

Tym razem atakujący posłużyli się techniką opartą na dowiązaniach symbolicznych (symlinkach) – specjalnych plikach odsyłających do innych lokalizacji w systemie. Fortinet wyjaśnia, że atakujący stworzyli symlink, który umożliwiał użytkownikom dostęp do plików konfiguracyjnych głównego systemu plików – choć jedynie w trybie tylko do odczytu, wystarczyło to do utrzymania przyczółka i zbierania informacji.

Firma zapewnia, że podjęła działania mające na celu załagodzenie zagrożenia i poinformowała dotkniętych klientów. W sytuacjach, w których nie jest możliwe zastosowanie bezpiecznych wersji systemu, Fortinet zaleca tymczasowe wyłączenie funkcji SSL-VPN – to właśnie jej aktywność umożliwia skuteczne przeprowadzenie ataku.

Eksperci alarmują: łatanie może nie wystarczyć

Benjamin Harris, prezes firmy watchTowr, nie kryje niepokoju. „To świetnie, że Fortinet podejmuje działania i dzieli się informacjami, ale ten przypadek może zwiastować niepokojący trend” – ostrzega. – „Coraz częściej widzimy, że cyberprzestępcy projektują swoje ataki w taki sposób, by przetrwać nawet łatanie, aktualizacje czy przywracanie ustawień fabrycznych. To oznacza, że znane mechanizmy obronne mogą już nie wystarczyć do odzyskania integralności systemów”.