Briefing executivo
O que aconteceu:
Um backdoor furtivo e persistente foi descoberto em mais de 16.000 firewalls da Fortinet. Não era uma nova vulnerabilidade – foi um caso de invasores explorando uma parte sutil do sistema (pastas de idiomas) para manter o acesso não autorizado, mesmo depois que as vulnerabilidades originais foram corrigidas.
O que isso significa:
Os dispositivos considerados “seguros” ainda podem ser comprometidos. Os atacantes tiveram acesso somente para leitura a arquivos sensíveis do sistema por meio de links simbólicos colocados no sistema de arquivos-ignorando completamente a autenticação e a detecção tradicionais. Mesmo que um dispositivo fosse corrigido meses atrás, o invasor ainda poderia estar no lugar.
Risco comercial:
- Exposição de arquivos de configuração sensíveis (incluindo VPN, Admin e Dados do Usuário)
- Risco de reputação se a infraestrutura voltada para o cliente estiver comprometida
- Preocupações de conformidade, dependendo da indústria (HIPAA, PCI, etc.)
- Perda de controle sobre configurações de dispositivos e limites de confiança
O que estamos fazendo a respeito:
Implementamos um plano de remediação direcionado que inclua patches de firmware, redefinições de credenciais, auditorias do sistema de arquivos e atualizações de controle de acesso. Também incorporamos controles de longo prazo para monitorar táticas de persistência como essa no futuro.
Takeaway para a liderança:
Não se trata de um fornecedor ou um CVE. Este é um lembrete de que o patching é apenas uma etapa em um modelo de operações seguras. Estamos atualizando nosso processo para incluir a detecção persistente de ameaças em todos os aparelhos de rede – porque os invasores não estão esperando o próximo CVE para atacar.
O que aconteceu
Os atacantes exploraram firewalls da Fortinet plantando links simbólicos nas pastas de arquivos de idiomas. Esses links apontaram para arquivos de nível de raiz sensíveis, que eram então acessíveis através da interface da Web SSL-VPN.
O resultado: os invasores obtiveram acesso somente leitura aos dados do sistema sem credenciais e sem alertas. Esse backdoor permaneceu mesmo após os patches de firmware – a menos que você soubesse removê -lo.
Versões do Fortios que removem o backdoor:
- 7.6.2
- 7.4.7
- 7.2.11
- 7.0.17
- 6.4.16
Se você estiver executando algo mais antigo, assuma um compromisso e aja de acordo.
A verdadeira lição
Tendemos a pensar em remendar como uma redefinição completa. Não é. Os atacantes hoje são persistentes. Eles não entram e se movem lateralmente – eles se escondem silenciosamente e ficam.
O verdadeiro problema aqui não era uma falha técnica. Era um ponto cego na confiança operacional: a suposição de que, uma vez que corrigimos, terminamos. Essa suposição não é mais segura.
Plano de resolução de OPS: Runbook com um clique
Playbook: Remediação Backdoor da Fortinet Symlink
Propósito:
Remediar a vulnerabilidade simplista de backdoor que afeta os aparelhos de FortiGate. Isso inclui patches, auditoria, higiene de credenciais e remoção de qualquer acesso não autorizado persistente.
1. Escope seu ambiente
- Identifique todos os dispositivos Fortinet em uso (físico ou virtual).
- Inventário todas as versões de firmware.
- Verifique quais dispositivos têm SSL-VPN ativado.
2. Firmware de patch
Patch nas seguintes versões mínimas:
- Fortios 7.6.2
- Fortios 7.4.7
- Fortios 7.2.11
- Fortios 7.0.17
- Fortios 6.4.16
Passos:
- Faça o download do firmware do portal de suporte da Fortinet.
- Agende o tempo de inatividade ou uma janela de atualização rolante.
- Configuração de backup antes de aplicar atualizações.
- Aplique atualização de firmware via GUI ou CLI.
3. Validação pós-patch
Depois de atualizar:
- Confirme a versão usando o status Get System.
- Verifique se o SSL-VPN está operacional se estiver em uso.
- Execute a lista de flash de diagnóstico de diagnóstico para confirmar a remoção de symlinks não autorizados (o script fortinet incluído em um novo firmware deve limpá -lo automaticamente).
4. Credencial e higiene da sessão
- Força a redefinição de senha para todas as contas de administrador.
- Revogar e reemunciar todas as credenciais de usuário locais armazenadas no FortiGate.
- Invalide todas as sessões atuais da VPN.
5. Auditoria do sistema e configuração
- Revise a lista de contas de administrador para usuários desconhecidos.
- Validar arquivos de configuração atuais (mostre a configuração completa) para alterações inesperadas.
- Pesquisar arquivos do sistema de links simbólicos restantes (opcional):
find / -type l -ls | grep -v "/usr"
6. Monitoramento e detecção
- Habilite o log completo nas interfaces SSL-VPN e Admin.
- Exportar toras para análise e retenção.
- Integrar -se com o SIEM para alertar:
- Logins de administrador incomuns
- Acesso a recursos da Web incomuns
- Acesso à VPN fora de geos esperados
7. Harden ssl-vpn
- Limite a exposição externa (use listas de permissões de IP ou ginga geográfica).
- Requer MFA em todo o acesso da VPN.
- Desative o acesso ao modo da Web, a menos que seja absolutamente necessário.
- Desligue os componentes da Web não utilizados (por exemplo, temas, pacotes de idiomas).
Resumo do controle de alteração
Tipo de mudança: Hotfix de segurança
Sistemas afetados: FortiGate Appliances executando SSL-VPN
Impacto: Interrupção curta durante a atualização do firmware
Nível de risco: Médio
Alterar proprietário: [Insert name/contact]
Alterar janela: [Insert time]
Plano de backup: Veja abaixo
Plano de teste: Confirme a versão do firmware, valide o acesso à VPN e execute auditorias pós-patch
Plano de reversão
Se a atualização causar falha:
- Reinicie a partição anterior de firmware usando o acesso ao console.
- Execute: Exec Definir Primário ou Secundário do Exec, dependendo do que foi atualizado.
- Restaurar Config backup (pré-patch).
- Desative o SSL-VPN temporariamente para evitar a exposição enquanto a questão é investigada.
- Notifique o InfoSec e escala através do suporte da Fortinet.
Pensamento final
Isso não era um patch perdido. Foi um fracasso em assumir que os atacantes jogariam justos.
Se você está validando apenas se algo é “vulnerável”, você está perdendo a imagem maior. Você precisa perguntar: alguém já poderia estar aqui?
Hoje, a segurança significa encolher o espaço onde os invasores podem operar – e supondo que sejam inteligentes o suficiente para usar as bordas do seu sistema contra você.