Fortinet advierte que atacantes mantienen acceso a dispositivos FortiGate tras parches mediante exploit de SSL-VPN
Fortinet alerta que, pese a los parches aplicados a vulnerabilidades en FortiGate, atacantes logran mantener acceso de solo lectura a dispositivos afectados mediante un exploit de symlink en SSL-VPN. Se han lanzado actualizaciones para mitigar el riesgo.
VULNERABILIDADES
4/13/2025
Fortinet ha emitido una advertencia acerca de un exploit utilizado por atacantes para mantener acceso persistente en dispositivos FortiGate vulnerables, incluso después de que se hayan aplicado los parches correspondientes. Los atacantes habrían aprovechado vulnerabilidades ya corregidas, como CVE-2022-42475, CVE-2023-27997 y CVE-2024-21762.
Según Fortinet, los atacantes usaron un enlace simbólico (symlink) para conectar el sistema de archivos de usuario con el sistema de archivos raíz en una carpeta usada para servir archivos de lenguaje en SSL-VPN. Este método permitió que los atacantes mantuvieran acceso de solo lectura a los archivos del sistema, incluidos los archivos de configuración. Cabe destacar que los usuarios que no tienen habilitado SSL-VPN no están afectados por este problema.
Aunque los parches para las vulnerabilidades fueron aplicados, el symlink malicioso quedó en el sistema, lo que permitió que los atacantes mantuvieran acceso al dispositivo. Fortinet ha lanzado actualizaciones de software para eliminar este problema de manera definitiva:
FortiOS 7.4, 7.2, 7.0, 6.4: El symlink malicioso se marca como amenaza para ser eliminado automáticamente por el motor antivirus.
FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17, 6.4.16: El symlink es eliminado y la interfaz de SSL-VPN se modificó para evitar servir enlaces simbólicos maliciosos.
Se aconseja a los usuarios actualizar sus dispositivos a las versiones mencionadas de FortiOS y revisar sus configuraciones para asegurar que no hayan sido comprometidas.
Además, la CISA (Agencia de Ciberseguridad e Infraestructura de EE.UU.) recomendó restablecer credenciales expuestas y considerar deshabilitar SSL-VPN hasta aplicar los parches. De manera similar, el CERT-FR (equipo de respuesta a emergencias cibernéticas de Francia) ha informado sobre incidentes que datan desde principios de 2023.
Este incidente resalta dos preocupaciones importantes: la velocidad de explotación en el mundo real, que supera la capacidad de las organizaciones para aplicar parches, y la persistencia de los atacantes que implementan puertas traseras para mantener el acceso incluso después de los procesos de mitigación estándar.