W szokującym wydarzeniu dla specjalistów ds. bezpieczeństwa sieci na całym świecie, Fortinet wydał szczegółowe ostrzeżenie, że aktorzy wykorzystujący zaawansowane uporczywe zagrożenia (APT) wykorzystują wcześniej ujawnione luki w zabezpieczeniach urządzeń FortiGate w celu utrzymania długoterminowego dostępu do naruszonych sieci — nawet po zastosowaniu poprawek.
To przerażające odkrycie podkreśla długotrwałą obawę w cyberbezpieczeństwie: łatanie jest tylko jednym elementem układanki obronnej. Według raportu Fortinet na temat zagrożeń z kwietnia 2025 r. i podsumowania Wiadomości Hackera, atakujący wykorzystują luki w zabezpieczeniach, takie jak CVE-2022-42475, krytyczny błąd przepełnienia bufora sterty w sieciach VPN SSL, służący do wszczepiania złośliwego oprogramowania i zapewniania stałego dostępu.
Od eksploatacji do trwałości
Zespół Fortinet Threat Intelligence udokumentował wieloetapową operację, w której złośliwi aktorzy uzyskują początkowy dostęp za pośrednictwem przestarzałego oprogramowania układowego, a następnie wszczepiają skrypty powłoki na poziomie głównym, powłoki internetowe i inne mechanizmy trwałości do zapór FortiGate. To nie są operacje typu „fly-by-night”. Mówimy o ukrytych, wysoko wykwalifikowanych grupach zagrożeń, które mają narzędzia i cierpliwość, aby pozostać w ukryciu do czasu reaktywacji.
Po dostaniu się do środka atakujący nie tylko węszą — poruszają się po sieciach, zbierają dane uwierzytelniające i przechodzą na bardziej wartościowe zasoby wewnętrzne. W niektórych przypadkach złośliwe oprogramowanie utrzymuje się nawet po zaktualizowaniu oprogramowania sprzętowego urządzenia, co stwarza niebezpieczne fałszywe poczucie bezpieczeństwa dla administratorów IT, którzy myśleli, że zneutralizowali zagrożenie.
Zaawansowane TTP na wyświetlaczu
Ta kampania nie wyróżnia się tylko początkowym punktem wejścia. To taktyki, techniki i procedury (TTP) aktorów zagrożeń po wykorzystaniu podnoszą ją na zupełnie nowy poziom. Analiza Fortinet ujawnia użycie:
- Niestandardowe tylne drzwi które mieszają się z legalnymi plikami systemowymi
- Zmanipulowane demony SSH aby włączyć ciche logowanie bez wyzwalania logów
- Techniki bezplikowe zachować ukrycie i wytrwałość
To nie jest teoria. Fortinet udostępnił Wskaźniki kompromisu (IoC) i ślady złośliwego oprogramowania, co pomaga obrońcom wykrywać ukryte zagrożenia w ich sieciach.
Co powinieneś teraz zrobić
Jeśli zarządzasz urządzeniami FortiGate, nie aktualizuj po prostu oprogramowania sprzętowego i nie nazywaj tego dniem. Fortinet wzywa użytkowników do przeprowadzania dokładnych przeglądów kryminalistycznych i wdrażania operacji polowania na zagrożenia w całej sieci. Ich zalecenia obejmują wskaźniki IoC, podejrzane nazwy plików i wskazówki dotyczące odwrotnej aktywności powłoki.
Monitoruj również ruch wychodzący, sprawdzaj logi pod kątem nieautoryzowanego dostępu root i wymuszaj MFA, gdziekolwiek to możliwe. Nie chodzi tylko o łatanie luk w zabezpieczeniach — chodzi o znajdowanie i eksmitowanie cyfrowych squatterów, którzy mogą już znajdować się w Twojej infrastrukturze.
