- 19,419
- 40
- 8 Ноя 2022
Как файловая ссылка победила обновление.
Почти 17 000 устройств Fortinet, подключённых к интернету, оказались заражены скрытым бэкдором, позволяющим злоумышленникам просматривать чувствительные файлы в режиме «только чтение». Речь идёт о тех устройствах, которые ранее уже подвергались атаке, а затем были обновлены. Тем не менее, несмотря на установленные обновления безопасности, доступ к файловой системе сохранился за атакующими.
Об инциденте сообщил Shadowserver Foundation. Изначально было зафиксировано более 14 000 уязвимых устройств, однако позднее количество возросло до Для просмотра ссылки Войдиили Зарегистрируйся . По словам представителя организации, отслеживаемая Для просмотра ссылки Войди или Зарегистрируйся распространилась быстрее, чем предполагалось.
Компания Fortinet недавно уведомила клиентов Для просмотра ссылки Войдиили Зарегистрируйся сохранения доступа, при которой злоумышленник создаёт символическую ссылку (симлинк) между пользовательской и корневой файловыми системами. Это Для просмотра ссылки Войди или Зарегистрируйся в папке, предназначенной для языковых файлов, которая автоматически становится доступной из интернета на устройствах с включённым SSL-VPN. После такой манипуляции атакующий может просматривать содержимое всей файловой системы, включая конфигурационные файлы, даже если сама Для просмотра ссылки Войди или Зарегистрируйся уже устранена обновлениями.
Особенность метода заключается в том, что модификация происходит не в системной области, а в пользовательской, за счёт чего остаётся вне зоны контроля стандартных проверок. Это означает, что даже после установки обновлений FortiOS уязвимость продолжает существовать в виде оставленной символической ссылки, через которую атакующий сохраняет доступ к конфиденциальной информации.
Источник угрозы — кампания, начавшаяся ещё в 2023 году. Тогда хакеры использовали несколько Zero-Day для взлома устройств FortiGate, а позже перешли к механизму сохранения доступа. На текущем этапе Fortinet Для просмотра ссылки Войдиили Зарегистрируйся с владельцами уязвимых устройств напрямую, информируя их по электронной почте о необходимости принять срочные меры.
В качестве противодействия Fortinet уже обновила антивирусные и IPS-сигнатуры, способные обнаруживать и удалять вредоносные символические ссылки. Кроме того, новая прошивка блокирует возможность обработки веб-сервером любых неизвестных файлов и каталогов, которые не предусмотрены штатной конфигурацией.
Несмотря на это, факт компрометации означает потенциальную утечку конфигурационных файлов, включая пароли. В связи с этим Fortinet настоятельно Для просмотра ссылки Войдиили Зарегистрируйся сбросить все учётные данные и внимательно следовать официальной инструкции по восстановлению безопасности.
Почти 17 000 устройств Fortinet, подключённых к интернету, оказались заражены скрытым бэкдором, позволяющим злоумышленникам просматривать чувствительные файлы в режиме «только чтение». Речь идёт о тех устройствах, которые ранее уже подвергались атаке, а затем были обновлены. Тем не менее, несмотря на установленные обновления безопасности, доступ к файловой системе сохранился за атакующими.
Об инциденте сообщил Shadowserver Foundation. Изначально было зафиксировано более 14 000 уязвимых устройств, однако позднее количество возросло до Для просмотра ссылки Войди
Компания Fortinet недавно уведомила клиентов Для просмотра ссылки Войди
Особенность метода заключается в том, что модификация происходит не в системной области, а в пользовательской, за счёт чего остаётся вне зоны контроля стандартных проверок. Это означает, что даже после установки обновлений FortiOS уязвимость продолжает существовать в виде оставленной символической ссылки, через которую атакующий сохраняет доступ к конфиденциальной информации.
Источник угрозы — кампания, начавшаяся ещё в 2023 году. Тогда хакеры использовали несколько Zero-Day для взлома устройств FortiGate, а позже перешли к механизму сохранения доступа. На текущем этапе Fortinet Для просмотра ссылки Войди
В качестве противодействия Fortinet уже обновила антивирусные и IPS-сигнатуры, способные обнаруживать и удалять вредоносные символические ссылки. Кроме того, новая прошивка блокирует возможность обработки веб-сервером любых неизвестных файлов и каталогов, которые не предусмотрены штатной конфигурацией.
Несмотря на это, факт компрометации означает потенциальную утечку конфигурационных файлов, включая пароли. В связи с этим Fortinet настоятельно Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
