شرکت Fortinet هشدار داده است که مهاجمان سایبری توانسته‌اند حتی پس از اعمال وصله‌های امنیتی، همچنان به برخی دستگاه‌های FortiGate دسترسی داشته باشند. این دسترسی از طریق بهره‌برداری از آسیب‌پذیری‌های پیشین مانند CVE-2022-42475، CVE-2023-27997 و CVE-2024-21762 به‌دست آمده و مهاجمان با ایجاد یک symbolic link (پیوند نمادین یا symlink) در سیستم فایل کاربر، توانسته‌اند به صورت “فقط‌خواندنی” (Read-Only) به فایل‌های سیستم، از جمله فایل‌های پیکربندی، دسترسی داشته باشند.

این پیوند نمادین در دایرکتوری‌ای ایجاد شده که فایل‌های SSL-VPN را سرویس‌دهی می‌کند، و حتی پس از برطرف شدن آسیب‌پذیری اصلی، باقی مانده و امکان نظارت مخفیانه بر سیستم را برای مهاجم حفظ کرده است. این مسئله تنها دستگاه‌هایی را که SSL-VPN فعال دارند تحت تاثیر قرار می‌دهد.

Fortinet اعلام کرده که دسترسی ایجادشده از طریق تغییراتی در سیستم فایل کاربر بوده که از دید شناسایی‌های امنیتی پنهان مانده است. اگرچه شواهدی از هدف‌گیری خاص جغرافیایی یا صنعتی یافت نشده، اما مشتریان آسیب‌دیده به طور مستقیم مطلع شده‌اند.

به‌روزرسانی‌هایی برای نسخه‌های FortiOS ارائه شده‌اند که در آن‌ها این symlink به عنوان عنصر مخرب شناسایی و حذف می‌شود. همچنین رابط کاربری SSL-VPN نیز اصلاح شده تا از بارگذاری چنین لینک‌های مخربی جلوگیری شود. نسخه‌های اصلاح‌شده شامل:

• FortiOS 7.6.2

• FortiOS 7.4.7

• FortiOS 7.2.11

• FortiOS 7.0.17

• FortiOS 6.4.16

Fortinet به کاربران توصیه کرده:

1. سیستم‌ها را به آخرین نسخه FortiOS ارتقاء دهند.

2. پیکربندی‌ها را بازبینی کرده و آن‌ها را به عنوان داده‌های احتمالا آلوده در نظر بگیرند.

3. اقدامات بازیابی مناسب انجام دهند.

سازمان امنیت سایبری آمریکا (CISA) و CERT فرانسه نیز هشدارهایی صادر کرده‌اند و پیشنهاد کرده‌اند تا هنگام وصله‌سازی، قابلیت SSL-VPN موقتاً غیرفعال شود. گزارش‌هایی وجود دارد که این نوع دسترسی‌های پنهان از اوایل ۲۰۲۳ تاکنون در برخی زیرساخت‌های حیاتی مشاهده شده است.