【安全资讯】Fortinet警告：符号链接漏洞导致FortiGate VPN设备被持续访问

概要：

Fortinet近日发出警告，黑客利用一种后渗透技术，能够在原攻击向量被修补后，仍然保持对已被攻陷的FortiGate VPN设备的只读访问权限。这一安全事件引发了广泛关注，尤其是在金融和IT行业，因其可能导致敏感数据泄露。

主要内容：

Fortinet在本周早些时候向客户发送了警告邮件，称其FortiGate/FortiOS设备可能已被攻陷。这些邮件标注为“设备被攻陷通知 - FortiGate / FortiOS - **紧急行动要求**”，并强调此问题与新漏洞无关，而是黑客在利用已知漏洞后留下的文件。具体漏洞包括CVE-2022-42475、CVE-2023-27997和CVE-2024-21762。

黑客在利用旧漏洞入侵服务器后，创建了指向设备根文件系统的符号链接，这使得他们即使在被发现并驱逐后，仍能通过公开的SSL-VPN网页面保持对根文件系统的只读访问。Fortinet指出，这种修改发生在用户文件系统中，避免了被检测到。

法国计算机应急响应小组（CERT-FR）透露，这一攻击技术自2023年初以来已被广泛使用，涉及大量被攻陷的设备。Fortinet建议客户立即升级其FortiGuard防火墙至最新版本，并审查设备配置，以寻找任何意外的更改。同时，CERT-FR建议隔离被攻陷的VPN设备，并重置所有凭证和密钥，以防止进一步的网络移动。此事件的潜在后果可能对金融和IT行业的安全性造成严重影响。