Hơn 16.000 thiết bị Fortinet bị nhiễm symlink backdoor duy trì truy cập trái phép

[WhiteHat Team]

Hơn 16.000 thiết bị Fortinet kết nối internet đã bị phát hiện nhiễm symlink backdoor- một cơ chế duy trì quyền truy cập từ xa chỉ đọc (read-only) vào các tệp tin nhạy cảm trên hệ thống đã từng bị xâm nhập trước đó.

Theo tổ chức giám sát an ninh mạng Shadowserver Foundation, lỗ hổng này không đến từ lỗ hổng mới, mà là hậu quả từ các cuộc tấn công đã bắt đầu từ năm 2023, khi kẻ tấn công khai thác các lỗ hổng zero-day trên FortiOS.

Sau khi xâm nhập, kẻ tấn công đã:

• Tạo symbolic link (liên kết tượng trưng) trong thư mục ngôn ngữ của SSL-VPN,
• Liên kết này trỏ đến root filesystem – hệ thống tệp tin gốc của thiết bị,
• Do thư mục ngôn ngữ có thể được truy cập công khai qua SSL-VPN, kẻ tấn công có thể tiếp tục truy cập dữ liệu như file cấu hình, thông tin nhạy cảm, ngay cả sau khi thiết bị đã được vá lỗi.

Cơ chế này cho phép duy trì quyền truy cập từ xa chỉ đọc, không cần tái tấn công lại thiết bị, tránh được nhiều lớp phát hiện truyền thống.

Fortinet đã phát hành bản cập nhật chữ ký Antivirus/IPS mới nhằm phát hiện và loại bỏ symbolic link độc hại trên các thiết bị FortiGate đã bị xâm nhập. Đồng thời, firmware mới nhất cũng đã được cập nhật để tự động kiểm tra, phát hiện và xóa bỏ symlink này nếu tồn tại, cũng như ngăn chặn máy chủ web tích hợp phục vụ các tệp và thư mục không xác định, giúp ngăn ngừa các hành vi khai thác tương tự trong tương lai. Fortinet cũng đã gửi cảnh báo riêng qua email tới các khách hàng có thiết bị FortiGate bị phát hiện nhiễm backdoor này.

Các chuyên gia khuyến nghị, nếu thiết bị đã bị xâm nhập, người dùng cần:

• Reset toàn bộ mật khẩu và thông tin xác thực.
• Thực hiện các bước theo hướng dẫn chính thức từ Fortinet.
• Kiểm tra hệ thống để đảm bảo symbolic link đã bị xóa hoàn toàn.
• Giám sát chặt các thiết bị FortiGate đang kết nối internet, đặc biệt nếu có SSL-VPN đang bật.

Theo Bleeping Computer​