Fortinet ha lanzado una alerta urgente sobre una técnica de post explotación que permite a atacantes mantener acceso a dispositivos FortiGate incluso después de haber sido parcheados.
Esto se logra usando symlinks (enlaces simbólicos) que brindan acceso en modo solo lectura al sistema raíz.
¿Qué está pasando exactamente?
Tras aprovechar vulnerabilidades conocidas como:
- CVE-2022-42475
- CVE-2023-27997
- CVE-2024-21762
Los atacantes crearon symlinks ocultos en las carpetas de idiomas del portal SSL-VPN, apuntando al sistema de archivos raíz. Esto les permite seguir accediendo al dispositivo aunque haya sido actualizado.
Ataques en curso desde principios de 2023
CERT-FR (agencia de ciberseguridad de Francia) reportó una campaña masiva desde principios del año pasado, afectando numerosos dispositivos en el país. Fortinet confirmó los hallazgos y emitió avisos directos a sus clientes.
¿Quién está afectado?
Usuarios de FortiGate/FortiOS con SSL-VPN activado, incluso si han aplicado los parches recientes. La persistencia maliciosa puede sobrevivir actualizaciones si no se revisa manualmente.
Los correos de Fortinet llevan el asunto: “Notification of device compromise – Urgent action required” y son clasificados como TLP:AMBER+STRICT.
Medidas recomendadas ✅
- Actualiza a versiones seguras de FortiOS
7.6.2,7.4.7,7.2.11,7.0.17,6.4.16 - Revisa configuraciones del sistema buscando cambios sospechosos.
- Elimina symlinks en carpetas SSL-VPN si están presentes.
- Restablece todos los secretos: contraseñas, certificados, tokens, etc.
- Aísla dispositivos comprometidos de la red.
- Busca indicios de movimiento lateral en la red.
Contacto en caso de incidente
CISA (EE.UU.): ✉️ report@cisa.gov (888) 282-0870
Conclusión
Aunque los sistemas estén parchados, los atacantes pueden seguir accediendo si dejan rastros persistentes como symlinks maliciosos.
Esta técnica subraya la necesidad de auditorías manuales post incidentes.