Fortinet cảnh báo thủ thuật mới cho phép duy trì truy cập trái phép vào thiết bị FortiGate

Fortinet vừa phát đi cảnh báo về một kỹ thuật tấn công mới được các nhóm tin tặc sử dụng nhằm duy trì quyền truy cập ở chế độ chỉ đọc trên thiết bị FortiGate, ngay cả khi các lỗ hổng ban đầu đã được vá. Cụ thể, các đối tượng tấn công đã lợi dụng cơ chế liên kết tượng trưng (symlink) trong thư mục ngôn ngữ của hệ thống SSL-VPN để cấy mã độc.

Theo Fortinet, một số lỗ hổng đã từng được khai thác bao gồm CVE-2022-42475, CVE-2023-27997 và CVE-2024-21762. Bằng cách tận dụng các điểm yếu này, tin tặc có thể tạo symlink kết nối giữa vùng chứa dữ liệu người dùng và hệ thống tập tin gốc. Kỹ thuật này cho phép các tập tin độc hại tồn tại âm thầm trong hệ thống và không bị phát hiện, kể cả sau khi lỗ hổng ban đầu được khắc phục. Điều này dẫn đến khả năng tiếp cận trái phép với dữ liệu cấu hình và các tệp hệ thống quan trọng.

Fortinet nhấn mạnh rằng những hệ thống chưa từng bật tính năng SSL-VPN sẽ không bị ảnh hưởng bởi kỹ thuật này. Hiện tại, chưa xác định được danh tính của nhóm đứng sau chiến dịch này, và cũng chưa phát hiện dấu hiệu cho thấy có sự nhắm mục tiêu theo quốc gia hay ngành nghề.

Để đối phó, Fortinet đã tung ra các bản vá bảo mật cho nhiều dòng FortiOS. Trong các phiên bản FortiOS 7.4, 7.2, 7.0 và 6.4, symlink độc hại sẽ được phát hiện và xóa bỏ bởi công cụ antivirus tích hợp. Ngoài ra, trong các bản cập nhật mới nhất như FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 và 6.4.16, chức năng xử lý SSL-VPN cũng đã được điều chỉnh để ngăn chặn việc lạm dụng liên kết tượng trưng.

Fortinet khuyến cáo người dùng nhanh chóng cập nhật hệ thống lên bản FortiOS mới nhất, đồng thời rà soát lại toàn bộ cấu hình thiết bị như thể đã bị xâm nhập, nhằm đảm bảo không bỏ sót bất kỳ thay đổi nào bất thường.