Tóm tắt kỹ thuật: Hơn 16.000 thiết bị Fortinet bị xâm phạm bởi Backdoor Symlink
Trong một báo cáo gần đây từ BleepingComputer, một sự cố bảo mật nghiêm trọng đã được công bố liên quan đến hơn 16.000 thiết bị Fortinet bị xâm phạm thông qua một backdoor dạng symlink. Lỗ hổng này cho phép kẻ tấn công duy trì quyền truy cập chỉ đọc (read-only) vào các tệp nhạy cảm trên các thiết bị đã bị xâm nhập trước đó, ngay cả khi các lỗ hổng ban đầu đã được vá.
Những phát hiện chính
- Số lượng thiết bị bị xâm phạm: Theo thống kê, hơn 16.620 thiết bị Fortinet đã bị phát hiện nhiễm backdoor symlink mới. Ban đầu, The Shadowserver Foundation báo cáo con số 14.000, nhưng số liệu cập nhật đã tăng lên 16.620.
- Phương thức tấn công: Kẻ tấn công đã khai thác các lỗ hổng đã được công bố trước đây, bao gồm CVE-2022-42475, CVE-2023-27997 và CVE-2024-21762, để truy cập ban đầu vào các thiết bị FortiGate. Sau khi xâm nhập, chúng tạo các liên kết tượng trưng (symlinks) trong thư mục tệp ngôn ngữ (language files folder) để liên kết đến hệ thống tệp gốc (root file system) trên các thiết bị bật tính năng SSL-VPN. Điều này cho phép kẻ tấn công truy cập đọc hệ thống tệp gốc một cách liên tục.
- Cơ chế duy trì truy cập: Các symlink được tạo trong hệ thống tệp người dùng (user filesystem) và không bị phát hiện, tồn tại ngay cả sau khi các lỗ hổng ban đầu đã được vá. Cơ chế này giúp kẻ tấn công giữ quyền truy cập chỉ đọc vào các tệp hệ thống, bao gồm cấu hình thiết bị.
- Tác động và rủi ro: Các thiết bị bị xâm phạm có nguy cơ bị lộ thông tin xác thực (credentials) và cấu hình, tạo điều kiện cho các cuộc tấn công tiếp theo. Dù chỉ có quyền truy cập đọc, rủi ro về đánh cắp dữ liệu (data exfiltration) và do thám (reconnaissance) vẫn rất đáng kể.
- Biện pháp giảm thiểu: Fortinet đã phát hành bản cập nhật firmware cùng với các chữ ký antivirus/IPS để phát hiện và xóa bỏ các symlink độc hại. Khách hàng được khuyến nghị nâng cấp FortiOS lên các phiên bản 7.6.2, 7.4.7, 7.2.11, 7.0.17 hoặc 6.4.16, đồng thời xem xét lại cấu hình thiết bị như thể chúng đã bị xâm phạm. Tất cả thông tin xác thực cần được đặt lại và tuân theo các bước khôi phục được đề xuất.
Hệ quả thực tiễn đối với tổ chức
- Quản lý bản vá (Patch Management): Chỉ áp dụng bản vá là không đủ để khắc phục hoàn toàn lỗ hổng này. Các tổ chức cần thực hiện phân tích forensic kỹ lưỡng trên các thiết bị FortiGate để phát hiện và loại bỏ symlink trái phép hoặc bất kỳ dấu vết nào khác mà kẻ tấn công để lại.
- Xem xét cấu hình: Toàn bộ cấu hình thiết bị cần được coi là có nguy cơ bị xâm phạm. Quản trị viên nên kiểm tra lại cấu hình và đặt lại các thông tin xác thực bị lộ.
- Biện pháp bảo mật: Triển khai các biện pháp kiểm soát bảo mật mạnh mẽ như xác thực đa yếu tố (MFA) và áp dụng nguyên tắc Zero Trust có thể giảm đáng kể diện tích tấn công (attack surface).
- Giám sát và phát hiện: Việc kiểm tra định kỳ các symlink trái phép trong các thư mục liên quan đến tệp ngôn ngữ SSL-VPN là rất quan trọng để phát hiện sớm các dấu hiệu xâm phạm.
Tác động tiềm tàng
Vụ tấn công này cho thấy sự dai dẳng và tinh vi của các mối đe dọa mạng hiện đại. Ngay cả khi áp dụng bản vá, kẻ tấn công vẫn có thể duy trì quyền truy cập chỉ đọc, tạo ra rủi ro đối với thông tin nhạy cảm và cấu hình thiết bị. Sự cố này nhấn mạnh tầm quan trọng của các biện pháp bảo mật toàn diện, không chỉ dừng lại ở việc vá lỗi mà còn bao gồm phân tích forensic sâu và kiểm soát bảo mật chặt chẽ.
Thông tin kỹ thuật liên quan
- CVEs khai thác: CVE-2022-42475, CVE-2023-27997, và CVE-2024-21762.
- Khuyến nghị từ nhà cung cấp: Fortinet đã phát hành cảnh báo nghiêm trọng và cung cấp hướng dẫn chi tiết về giảm thiểu rủi ro cũng như cập nhật firmware.
- Tình báo mối đe dọa (Threat Intelligence): Sự cố này nhấn mạnh nhu cầu giám sát liên tục và áp dụng các biện pháp tình báo mối đe dọa để phát hiện và phản ứng với các cuộc tấn công tinh vi tương tự.
Kết luận
Việc hơn 16.000 thiết bị Fortinet bị xâm phạm bởi backdoor symlink là một lời cảnh báo về bản chất không ngừng thay đổi của các mối đe dọa mạng. Các chuyên gia bảo mật và tổ chức cần duy trì cảnh giác và áp dụng các biện pháp bảo vệ toàn diện, bao gồm phân tích forensic kỹ lưỡng, kiểm soát bảo mật nghiêm ngặt và giám sát liên tục. Chỉ khi chủ động đối mặt với các lỗ hổng như thế này, chúng ta mới có thể đảm bảo tính toàn vẹn và an toàn cho hệ thống của mình.
