در آوریل 2025، Shadowserver گزارش داد مبنی براینکه بیش از 16 هزار دستگاه Fortinet Fortigate به یک مکانیزم پایداری جدید آلوده شده اند که به مهاجمان امکان دسترسی فقط خواندنی(Read) به فایل های حساس در سیستم فایل ریشه(root file system) را می دهد. این مکانیزم پایداری از طریق لینک های نمادین(symlinks) در پوشه فایل های زبان دستگاه های Fortigate با قابلیت SSL-VPN فعال انجام می شود. از آنجا که این پوشه ها به صورت عمومی قابل دسترسی هستند، مهاجمان می توانند بدون نیاز به احراز هویت، به فایل های حساس دسترسی پیدا کنند.
نکته مهم این است که این حملات به آسیب پذیری های جدیدی مربوط نمی شوند، بلکه به حملاتی باز می گردند که از سال 2023 آغاز شده اند. در آن زمان، مهاجمان با استفاده از آسیب پذیری های روز صفر(Zero-day) به دستگاه های FortiOS نفوذ کرده و این مکانیزم پایداری را پیاده سازی کرده اند.
توصیه ها
- اگر از دستگاه های Fortigate با قابلیت SSL-VPN فعال استفاده می کنید، بررسی کنید که آیا پوشه فایل های زبان حاوی لینک های نمادین مشکوک به سیستم های فایل ریشه است یا خیر.
- حتی اگر دستگاه های خود را بروزرسانی کرده اید، ممکن است این مکانیزم پایدار همچنان فعال باشد; بنابراین بررسی دقیق دستگاها توصیه می شود.
- با مشاورههای تخصصی نتیک، حفرههای امنیتی رو قبل از هکرها پیدا کنید.
