Información ejecutiva de lo que sucedió: se descubrió una puerta trasera sigilosa y persistente en más de 16,000 firewalls de Fortinet. Esta no fue una nueva vulnerabilidad: fue un caso de atacantes que explotan una parte sutil del sistema (carpetas de idiomas) para mantener el acceso no autorizado incluso después de que las vulnerabilidades originales se hubieran reparado. Lo que significa: los dispositivos que se consideraron «seguros» aún pueden verse comprometidos. Los atacantes tenían acceso de solo lectura a archivos del sistema confidencial a través de enlaces simbólicos colocados en el sistema de archivos, sin pasar por completo la autenticación y la detección tradicionales. Incluso si un dispositivo fuera parcheado hace meses, el atacante aún podría estar en su lugar. Riesgo comercial: exposición de archivos de configuración confidenciales (incluidos VPN, administrador y datos del usuario) Riesgo de reputación Si la infraestructura orientada al cliente es preocupaciones de cumplimiento comprometido que dependen de la industria (HIPAA, PCI, etc.) de control de control sobre configuraciones de dispositivos y límites de fideicomiso de lo que estamos haciendo al respecto: hemos implementado un plan de remediación de recursos dirigidos que incluyen parches de firma, requisitos de credenciales, a auditaciones del sistema de archivos, y un control de acceso, y accesas, y hemos implementado un plan de remediación objetivo. También hemos incrustado controles a largo plazo para monitorear tácticas de persistencia como esta en el futuro. Takeaway para el liderazgo: no se trata de un proveedor o una cVE. Este es un recordatorio de que el parche es solo un paso en un modelo de operaciones seguras. Estamos actualizando nuestro proceso para incluir la detección persistente de amenazas en todos los electrodomésticos de red, porque los atacantes no están esperando que la próxima CVE ataque. Lo que sucedió a los atacantes explotó los firewalls de Fortinet plantando enlaces simbólicos en carpetas de archivos de idiomas. Estos enlaces apuntaban a archivos sensibles a nivel raíz, a los que se podían acceder a través de la interfaz web SSL-VPN. El resultado: los atacantes obtuvieron acceso de solo lectura a los datos del sistema sin credenciales y sin alertas. Esta puerta trasera se mantuvo incluso después de los parches de firmware, a menos que supiera eliminarlo. Versiones de Fortios que eliminan la puerta trasera: 7.6.2 7.4.7 7.2.11 7.0.17 6.4.16 Si está ejecutando algo más antiguo, asuma compromiso y actúe en consecuencia. La verdadera lección que tendemos a pensar en parchar como un reinicio completo. Que no es. Los atacantes de hoy son persistentes. No solo entran y se mueven lateralmente, se excavan en silencio y se quedan. El verdadero problema aquí no era un defecto técnico. Era un punto ciego en la confianza operativa: la suposición de que una vez que parcheamos, terminamos. Esa suposición ya no es segura. Plan de resolución de OPS: Libro de jugadas de Runbook de un solo clic: Fortinet Symlink Backdoor Remediation Propósito: Remediar la vulnerabilidad de la puerta trasera del enlace simbólico que afecta a los electrodomésticos FortiGate. Esto incluye parches, auditoría, higiene de credenciales y confirmación de la eliminación de cualquier acceso persistente no autorizado. 1. Alcance su entorno Identifique todos los dispositivos Fortinet en uso (físico o virtual). Inventario todas las versiones de firmware. Verifique qué dispositivos tienen habilitado SSL-VPN. 2. Patch Firmware Patch a las siguientes versiones mínimas: Fortios 7.6.2 Fortios 7.4.7 Fortios 7.2.11 Fortios 7.0.17 Fortios 6.4.16 Pasos: Descargue el firmware del portal de soporte de Fortinet. Programe el tiempo de inactividad o una ventana de actualización continua. Configuración de copia de seguridad antes de aplicar actualizaciones. Aplique la actualización de firmware a través de GUI o CLI. 3. Validación posterior al parche Después de la actualización: confirme la versión usando el estado Get System. Verifique que SSL-VPN esté operativo si está en uso. Ejecute la lista de diagnóstico SYS Flash para confirmar la eliminación de enlaces simbólicos no autorizados (el script de Fortinet incluido en el nuevo firmware debería limpiarla automáticamente). 4. Credential & Session Hygiene Force Restablecer para todas las cuentas de administración. Revocar y volver a emitir las credenciales de usuarios locales almacenadas en FortiGate. Invalidar todas las sesiones de VPN actuales. 5. Sistema y configuración Revisión de auditoría Lista de cuentas de administración para usuarios desconocidos. Valide los archivos de configuración actuales (muestre la configuración completa) para cambios inesperados. Search Files System para enlaces simbólicos restantes (opcional): Find / -Type L -LS | GREP -V «/USR» 6. El monitoreo y la detección habilitan el registro completo en SSL -VPN e interfaces de administración. Registros de exportación para análisis y retención. Integre con SIEM para alertar sobre: ​​Inicia sesión de administración inusual Acceso a recursos web inusuales Acceso VPN fuera de GEOS esperados 7. Harden SSL-VPN Limite Exposición externa (use Listas de Permatistas IP o GEO-Fencing). Requiere MFA en todo el acceso a VPN. Deshabilite el acceso al modo web a menos que sea absolutamente necesario. Apague los componentes web no utilizados (por ejemplo, temas, paquetes de idiomas). Control de cambio Resumen Cambio Tipo: Seguridad HotfixSystems Afectados: Aplicaciones de FortiGate que ejecutan SSL-VPNIMPACT: Interrupción corta durante la actualización de firmware Nivel de actualización: Medium Change Propietario: [Insert name/contact]Ventana de cambio: [Insert time]Plan de respaldo: consulte el plan a continuación: confirmar la versión de firmware, validar el acceso a VPN y ejecutar el plan de reversión de auditorías posteriores al parche si la actualización causa falla: reinicie en la partición de firmware anterior con acceso a la consola. Ejecutar: EXEX Set-Next-ReBoot primario o secundario dependiendo de cuál se actualizara. Restaurar la configuración respaldada (prepath). Deshabilite SSL-VPN temporalmente para evitar la exposición mientras se investiga el problema. Notifique a Infosec y se intensifica a través del apoyo de Fortinet. Final pensó que este no era un parche perdido. Fue un fracaso para asumir que los atacantes jugarían justos. Si solo está validando si algo es «vulnerable», se está perdiendo la imagen más grande. Necesitas preguntar: ¿alguien podría estar aquí aquí? La seguridad hoy significa reducir el espacio donde los atacantes pueden operar, y suponiendo que son lo suficientemente inteligentes como para usar los bordes de su sistema contra usted.