Fortinet a identifié une technique d'exploitation « post-exploitation » utilisée par un acteur malveillant ciblant des dispositifs FortiGate vulnérables via des failles connues non corrigées. L'attaquant a exploité des vulnérabilités connues (FG-IR-22-398, FG-IR-23-097, FG-IR-24-015) préexistante pour conserver un accès en lecture seule en créant un lien symbolique entre le système de fichiers utilisateur et celui du système, spécifiquement dans le répertoire servant les fichiers de langue du SSL-VPN. 

En résumé, même après la mise à jour des dispositifs vers des versions corrigées de FortiOS, un lien symbolique laissé par l'attaquant peut lui permettre d’éviter la détection et de maintenir un accès en lecture seule aux fichiers du système, notamment aux configurations sensibles.

Ce vecteur d’attaque permet un accès non autorisé et persistant aux fichiers de configuration du système, avec des risques potentiels de fuite de données sensibles. Il existe également une possibilité de compromission supplémentaire si cet accès est combiné à d'autres vulnérabilités. Toutefois, seuls les dispositifs ayant activé le SSL-VPN et ayant été précédemment vulnérables aux CVE susmentionnés sont concernés.

Fortinet a déployé plusieurs mesures correctives pour remédier à cette technique d'exploitation :

• Une signature AV/IPS a été créée pour détecter et supprimer ce lien symbolique des appareils concernés ; 

• Des modifications ont été apportées aux dernières versions afin de détecter et de supprimer le lien symbolique et de s'assurer que le VPN SSL ne sert que les fichiers autorisés;