Πάνω από 16.000 συσκευές Fortinet περιέχουν το symlink backdoor
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Πάνω από 16.000 συσκευές Fortinet περιέχουν το symlink backdoor
https://www.secnews.gr/646409/pano-apo-16000-siskeves-fortinet-periexoun-symlink-backdoor/
Apr 17th 2025, 11:31
by Absenta Mia
Περισσότερες από 16.000 συσκευές Fortinet που εκτίθενται στο διαδίκτυο έχουν εντοπιστεί ως παραβιασμένες, εξαιτίας μιας νέας μεθόδου επίμονης πρόσβασης τύπου "symlink backdoor", η οποία επιτρέπει πρόσβαση μόνο για ανάγνωση σε ευαίσθητα αρχεία σε ήδη παραβιασμένες συσκευές.
Δείτε επίσης: Κρίσιμη ευπάθεια FortiSwitch επιτρέπει αλλαγή admin passwords απομακρυσμένα
Η αποκάλυψη αυτή προέρχεται από την πλατφόρμα παρακολούθησης απειλών The Shadowserver Foundation, η οποία αρχικά είχε αναφέρει πως επηρεάζονταν 14.000 συσκευές.
Σήμερα, ο Piotr Kijewski της Shadowserver δήλωσε στο BleepingComputer ότι ο αριθμός των επηρεαζόμενων συσκευών έχει ανέλθει πλέον στις 16.620, λόγω της νέας τεχνικής επίμονης πρόσβασης που αποκαλύφθηκε πρόσφατα.
Την προηγούμενη εβδομάδα, η Fortinet είχε προειδοποιήσει τους πελάτες της ότι εντόπισε έναν νέο μηχανισμό επίμονης πρόσβασης, ο οποίος χρησιμοποιείται από επιτιθέμενους για να διατηρήσουν απομακρυσμένη πρόσβαση, μόνο για ανάγνωση, σε αρχεία του root filesystem σε συσκευές FortiGate που είχαν παραβιαστεί στο παρελθόν αλλά πλέον έχουν διορθωθεί.
Η Fortinet ανέφερε ότι το συγκεκριμένο ζήτημα δεν οφείλεται στην εκμετάλλευση νέων ευπαθειών, αλλά σχετίζεται με επιθέσεις που ξεκίνησαν το 2023 και συνεχίστηκαν μέσα στο 2024. Κατά τις επιθέσεις αυτές, ένας κακόβουλος φορέας αξιοποίησε άγνωστες μέχρι τότε ευπάθειες (zero-days) για να παραβιάσει συσκευές FortiOS.
Αφού απέκτησε πρόσβαση στις συσκευές, δημιούργησε συμβολικούς συνδέσμους (symbolic links) μέσα στον φάκελο των αρχείων γλώσσας, που οδηγούσαν στο root file system των συσκευών με ενεργοποιημένο το SSL-VPN. Επειδή τα αρχεία γλώσσας είναι προσβάσιμα δημόσια σε συσκευές FortiGate με ενεργοποιημένο SSL-VPN, ο επιτιθέμενος μπορούσε να περιηγηθεί σε αυτόν τον φάκελο και να διατηρήσει επίμονη πρόσβαση για ανάγνωση στο root file system, ακόμη και μετά την επιδιόρθωση των αρχικών ευπαθειών.
Δείτε ακόμα: Το νέο SuperBlack ransomware εκμεταλλεύεται ευπάθειες Fortinet
Αυτόν τον μήνα, η Fortinet ξεκίνησε να ενημερώνει ιδιωτικά τους πελάτες της μέσω email σχετικά με συσκευές FortiGate που εντοπίστηκαν από το FortiGuard ως παραβιασμένες μέσω του symlink backdoor.
Η Fortinet κυκλοφόρησε μια ενημερωμένη υπογραφή AV/IPS, η οποία εντοπίζει και αφαιρεί τον κακόβουλο συμβολικό σύνδεσμο από τις επηρεασμένες συσκευές. Επίσης, η πιο πρόσφατη έκδοση του firmware έχει ενημερωθεί ώστε να εντοπίζει και να αφαιρεί αυτόν τον σύνδεσμο. Η αναβάθμιση αυτή επιπλέον εμποδίζει την εξυπηρέτηση άγνωστων αρχείων και φακέλων μέσω του ενσωματωμένου web server της συσκευής.
Τέλος, σε περίπτωση που μια συσκευή εντοπίστηκε ως παραβιασμένη, είναι πιθανό οι επιτιθέμενοι να είχαν πρόσβαση στα πιο πρόσφατα αρχεία ρυθμίσεων, συμπεριλαμβανομένων και των διαπιστευτηρίων (credentials).
Για τον λόγο αυτό, θα πρέπει να γίνει επαναφορά όλων των διαπιστευτηρίων και οι διαχειριστές να ακολουθήσουν τα υπόλοιπα βήματα που περιγράφονται στον οδηγό.
Δείτε επίσης: Fortinet: Hacker εκμεταλλεύονται ευπάθεια στα FortiOS και FortiProxy
Η χρήση του symlink backdoor αποτελεί έναν ύπουλο και σχετικά αθόρυβο τρόπο για τη διατήρηση πρόσβασης σε ένα σύστημα, καθώς δεν βασίζεται σε ενεργή εκμετάλλευση ευπάθειας, αλλά στην κατάχρηση της δομής του αρχείου συστήματος. Στην περίπτωση των FortiGate συσκευών, ο φάκελος των γλωσσικών αρχείων (language files) έγινε "πύλη" για ανάγνωση ευαίσθητων δεδομένων, λόγω της δημόσιας προσβασιμότητάς του όταν το SSL-VPN είναι ενεργοποιημένο. Αυτό δείχνει πόσο σημαντικό είναι όχι μόνο να εφαρμόζονται ενημερώσεις ασφαλείας (patches), αλλά και να υπάρχει συνεχής επιτήρηση και περιοδικός έλεγχος των συστημάτων για ύποπτη συμπεριφορά ή μη εξουσιοδοτημένες τροποποιήσεις αρχείων.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Πάνω από 16.000 συσκευές Fortinet περιέχουν το symlink backdoor
https://www.secnews.gr/646409/pano-apo-16000-siskeves-fortinet-periexoun-symlink-backdoor/
Apr 17th 2025, 11:31
by Absenta Mia
Περισσότερες από 16.000 συσκευές Fortinet που εκτίθενται στο διαδίκτυο έχουν εντοπιστεί ως παραβιασμένες, εξαιτίας μιας νέας μεθόδου επίμονης πρόσβασης τύπου "symlink backdoor", η οποία επιτρέπει πρόσβαση μόνο για ανάγνωση σε ευαίσθητα αρχεία σε ήδη παραβιασμένες συσκευές.
Δείτε επίσης: Κρίσιμη ευπάθεια FortiSwitch επιτρέπει αλλαγή admin passwords απομακρυσμένα
Η αποκάλυψη αυτή προέρχεται από την πλατφόρμα παρακολούθησης απειλών The Shadowserver Foundation, η οποία αρχικά είχε αναφέρει πως επηρεάζονταν 14.000 συσκευές.
Σήμερα, ο Piotr Kijewski της Shadowserver δήλωσε στο BleepingComputer ότι ο αριθμός των επηρεαζόμενων συσκευών έχει ανέλθει πλέον στις 16.620, λόγω της νέας τεχνικής επίμονης πρόσβασης που αποκαλύφθηκε πρόσφατα.
Την προηγούμενη εβδομάδα, η Fortinet είχε προειδοποιήσει τους πελάτες της ότι εντόπισε έναν νέο μηχανισμό επίμονης πρόσβασης, ο οποίος χρησιμοποιείται από επιτιθέμενους για να διατηρήσουν απομακρυσμένη πρόσβαση, μόνο για ανάγνωση, σε αρχεία του root filesystem σε συσκευές FortiGate που είχαν παραβιαστεί στο παρελθόν αλλά πλέον έχουν διορθωθεί.
Η Fortinet ανέφερε ότι το συγκεκριμένο ζήτημα δεν οφείλεται στην εκμετάλλευση νέων ευπαθειών, αλλά σχετίζεται με επιθέσεις που ξεκίνησαν το 2023 και συνεχίστηκαν μέσα στο 2024. Κατά τις επιθέσεις αυτές, ένας κακόβουλος φορέας αξιοποίησε άγνωστες μέχρι τότε ευπάθειες (zero-days) για να παραβιάσει συσκευές FortiOS.
Αφού απέκτησε πρόσβαση στις συσκευές, δημιούργησε συμβολικούς συνδέσμους (symbolic links) μέσα στον φάκελο των αρχείων γλώσσας, που οδηγούσαν στο root file system των συσκευών με ενεργοποιημένο το SSL-VPN. Επειδή τα αρχεία γλώσσας είναι προσβάσιμα δημόσια σε συσκευές FortiGate με ενεργοποιημένο SSL-VPN, ο επιτιθέμενος μπορούσε να περιηγηθεί σε αυτόν τον φάκελο και να διατηρήσει επίμονη πρόσβαση για ανάγνωση στο root file system, ακόμη και μετά την επιδιόρθωση των αρχικών ευπαθειών.
Δείτε ακόμα: Το νέο SuperBlack ransomware εκμεταλλεύεται ευπάθειες Fortinet
Αυτόν τον μήνα, η Fortinet ξεκίνησε να ενημερώνει ιδιωτικά τους πελάτες της μέσω email σχετικά με συσκευές FortiGate που εντοπίστηκαν από το FortiGuard ως παραβιασμένες μέσω του symlink backdoor.
Η Fortinet κυκλοφόρησε μια ενημερωμένη υπογραφή AV/IPS, η οποία εντοπίζει και αφαιρεί τον κακόβουλο συμβολικό σύνδεσμο από τις επηρεασμένες συσκευές. Επίσης, η πιο πρόσφατη έκδοση του firmware έχει ενημερωθεί ώστε να εντοπίζει και να αφαιρεί αυτόν τον σύνδεσμο. Η αναβάθμιση αυτή επιπλέον εμποδίζει την εξυπηρέτηση άγνωστων αρχείων και φακέλων μέσω του ενσωματωμένου web server της συσκευής.
Τέλος, σε περίπτωση που μια συσκευή εντοπίστηκε ως παραβιασμένη, είναι πιθανό οι επιτιθέμενοι να είχαν πρόσβαση στα πιο πρόσφατα αρχεία ρυθμίσεων, συμπεριλαμβανομένων και των διαπιστευτηρίων (credentials).
Για τον λόγο αυτό, θα πρέπει να γίνει επαναφορά όλων των διαπιστευτηρίων και οι διαχειριστές να ακολουθήσουν τα υπόλοιπα βήματα που περιγράφονται στον οδηγό.
Δείτε επίσης: Fortinet: Hacker εκμεταλλεύονται ευπάθεια στα FortiOS και FortiProxy
Η χρήση του symlink backdoor αποτελεί έναν ύπουλο και σχετικά αθόρυβο τρόπο για τη διατήρηση πρόσβασης σε ένα σύστημα, καθώς δεν βασίζεται σε ενεργή εκμετάλλευση ευπάθειας, αλλά στην κατάχρηση της δομής του αρχείου συστήματος. Στην περίπτωση των FortiGate συσκευών, ο φάκελος των γλωσσικών αρχείων (language files) έγινε "πύλη" για ανάγνωση ευαίσθητων δεδομένων, λόγω της δημόσιας προσβασιμότητάς του όταν το SSL-VPN είναι ενεργοποιημένο. Αυτό δείχνει πόσο σημαντικό είναι όχι μόνο να εφαρμόζονται ενημερώσεις ασφαλείας (patches), αλλά και να υπάρχει συνεχής επιτήρηση και περιοδικός έλεγχος των συστημάτων για ύποπτη συμπεριφορά ή μη εξουσιοδοτημένες τροποποιήσεις αρχείων.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια