- Published on
Vulnerabilità in prodotti Fortinet – ACN
- Authors
- Name
- Alessandro Iannacone
Vulnerabilità in prodotti Fortinet – ACN
Sintesi
È stata recentemente rilevata una nuova vulnerabilità critica nei prodotti Fortinet, in particolare nelle istanze SSL-VPN di FortiGate: gli aggressori possono mantenere accesso in sola lettura persistente anche dopo l'applicazione delle patch, tramite la creazione di symlink maligni nel filesystem.
Fonte: ACN, Fortinet PSIRT
Dettagli tecnici
- Tecnica di exploit: un attore minaccioso sfrutta vulnerabilità già note (FG-IR-22-398, FG-IR-23-097, FG-IR-24-015) per creare link simbolici tra il filesystem utente e quello root, nella cartella contenente i file linguistici dell’SSL-VPN.
- Persistenza: il symlink sopravvive anche agli aggiornamenti del sistema.
- Condizione necessaria: il problema interessa solo sistemi in cui l’SSL-VPN è stato abilitato in passato.
Prodotti e versioni interessate
Le versioni aggiornate di FortiOS includono contromisure che rimuovono il symlink. Aggiornare a:
- FortiOS 7.6.2
- FortiOS 7.4.7
- FortiOS 7.2.11
- FortiOS 7.0.17
- FortiOS 6.4.16
Impatto
- Accesso persistente in sola lettura ai file di configurazione.
- Possibile analisi delle configurazioni e preparazione di attacchi futuri.
- Sistemi senza SSL-VPN mai abilitato non sono vulnerabili.
Raccomandazioni
- Aggiornare immediatamente alle versioni indicate.
- Disabilitare temporaneamente l’SSL-VPN se non è possibile aggiornare subito.
- Eseguire audit del filesystem per individuare symlink sospetti.
- Resettare credenziali e certificati potenzialmente compromessi.
- Monitorare log e traffico di rete per rilevare attività anomale.
- In caso di compromissione confermata, eseguire una reinstallazione pulita.
Citazioni dalla community
“The vulnerability that caused the attacker to be able to put that file on your device in the first place is older and was already fixed … Install 7.2.11 or 7.4.7 and the issue is mitigated …” — Reddit user
“If your box is popped, your box is popped. You can't trust anything… If the IOC symlink is present, your device was compromised.” — Reddit user
Riepilogo rapido
| Aspetto | Informazioni principali |
|---|---|
| Vulnerabilità | Persistenza di accesso in sola lettura tramite symlink maligno post-patch |
| Prodotti | FortiOS con SSL-VPN abilitato in passato |
| Versioni fisse | 7.6.2 / 7.4.7 / 7.2.11 / 7.0.17 / 6.4.16 |
| Azioni consigliate | Aggiornamento, disabilitazione SSL-VPN, audit, reset credenziali, log monitoring |
| Note | Non vulnerabili i sistemi senza SSL-VPN attivato |