Понад 16 000 пристроїв Fortinet, доступних через інтернет, були скомпрометовані за допомогою символічних посилань. Це давало змогу зловмисникам отримати доступ тільки для читання до конфіденційних файлів на раніше зламаних пристроях.

Фахівці The Shadowserver Foundation повідомили виданню Bleeping Computer, що їм вдалося виявити 16 620 пристроїв, які постраждали від нещодавно виявленої проблеми.

Нагадаємо, що нещодавно розробники Fortinet попередили клієнтів про те, що зловмисники можуть зберігати read-only доступ до зламаних пристроїв FortiGate VPN навіть після виправлення вихідної уразливості. Компанія розіслала своїм клієнтам листи з попередженням про те, що їхні пристрої FortiGate/FortiOS були скомпрометовані згідно з даними телеметрії FortiGuard.

Як пояснили тоді в Fortinet, коли зловмисники зламували системи за допомогою різних старих вразливостей, у призначеній для мовних файлів папці вони створювали символічні посилання на кореневу файлову систему пристроїв з увімкненим SSL-VPN. У результаті це давало змогу хакерам зберігати read-only доступ до кореневої файлової системи через публічно доступну веб-панель SSL-VPN, навіть якщо злом було виявлено, а вразливості виправлено.

Наразі компанія Fortinet опублікувала оновлену сигнатуру, яка дає змогу виявити та видалити шкідливі символічні посилання зі скомпрометованих пристроїв. Крім того, для виявлення і видалення таких посилань було оновлено прошивку пристроїв. Це оновлення також запобігає передачі невідомих файлів і папок вбудованим веб-сервером.

Розробники попереджають, що якщо пристрій було скомпрометовано, можливо, що у зловмисників зберігся доступ до останніх файлів конфігурації, включно з обліковими даними.

У зв’язку з цим усі облікові дані рекомендується скинути, і адміністраторам слід виконати інші кроки, описані в керівництві з очищення скомпрометованих хостів.