Estos comandos deben ejecutarse desde CLI (línea de comandos) en el dispositivo afectado. Requieren privilegios de administrador.
1. Buscar symlinks en la carpeta de archivos de idioma del SSL-VPN
find /data/var/fortinet/lang/ -type l
Esto buscará todos los enlaces simbólicos (symlinks) dentro de la ruta que los atacantes suelen modificar.
2. Ver a dónde apunta cada symlink:
ls -l /data/var/fortinet/lang/
Esto te mostrará los symlinks y sus destinos. Si alguno apunta hacia / o /root es un indicio de compromiso.
3. Eliminar symlinks sospechosos:
rm /data/var/fortinet/lang/nombre_del_symlink
Solo si estás seguro de que el enlace es malicioso.
4. ️ Revisar configuraciones inesperadas:
show full-configuration | grep -i "set"
Busca configuraciones alteradas por el atacante. Presta atención a IPs, credenciales o scripts sospechosos.
Checklist imprimible para el equipo IT ️
Aquí va una versión lista para compartir o pegar en tu wiki interna, por si necesitas recordar a tu equipo de IT:
FORTIGATE POST-EXPLOITATION MITIGATION CHECKLIST
☑️ Verificar versión de FortiOS (actualizar a la más reciente)
☑️ Buscar symlinks en la ruta /data/var/fortinet/lang/
☑️ Revisar a qué apuntan los symlinks encontrados
☑️ Eliminar symlinks que apuntan al sistema raíz
☑️ Revisar configuración completa del dispositivo
☑️ Resetear todas las contraseñas, claves y certificados
☑️ Aislar el dispositivo de la red si hay indicios de compromiso
☑️ Analizar logs de acceso al portal SSL-VPN
☑️ Escanear la red por lateral movement
☑️ Documentar los hallazgos y preparar informe para CISA/CERT
Contacto CISA (EE.UU.): report@cisa.gov | ☎️ 888-282-0870
Contacto CERT-FR: cert@ssi.gouv.fr