شرکت Fortinet اعلام کرد نفوذگران سایبری موفق شدند حتی پس از برطرف شدن آسیبپذیریهای اولیه، دسترسی فقط-خواندنی خود را به دستگاههای آسیبپذیر FortiGate حفظ کنند.
عوامل تهدید با بهرهگیری از آسیبپذیریهای وصلهشده با شناسههای CVE-2022-42475، CVE-2023-27997 و CVE-2024-21762، موفق به اجرای این تکنیک شدند. این امر از طریق ایجاد symlink بین فایلسیستم کاربر و فایلسیستم root در پوشهای که برای ارائه فایلهای زبان رابط SSL-VPN استفاده میشود، صورت گرفت.
به کاربران توصیه شده است که به نسخههای 7.6.2، 7.4.7، 7.2.11، 7.0.17 یا 6.4.16 FortiOS به روزرسانی کرده و پیکربندیهای دستگاه را بررسی کنند، و همه پیکربندیها را به عنوان در معرض خطر قرار دهند و مراحل بازیابی مناسب را انجام دهند. به عنوان راهکارهای کاهشی برای جلوگیری از تکرار چنین مشکلاتی، به روزرسانی نرمافزار برای FortiOS ارائه شده است:
- FortiOS 7.4، 7.2، 7.0، 6.4 : که symlink به عنوان مخرب پرچمگذاری شد، به طوری که به طور خودکار توسط موتور آنتیویروس حذف میشود.
- FortiOS 7.6.2، 7.4.7، 7.2.11، 7.0.17، و 6.4.16: که symlink حذف شد و رابط کاربری SSL-VPN جهت جلوگیری از ارائه symlink مخرب وصله شده است.
https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity
https://www.bleepingcomputer.com/news/security/fortinet-hackers-retain-access-to-patched-fortigate-vpns-using-symlinks/
https://thehackernews.com/2025/04/fortinet-warns-attackers-retain.html
