【安全资讯】超过16,000台Fortinet设备遭到symlink后门攻击

概要：

近日，网络安全监测平台The Shadowserver Foundation报告称，超过16,000台暴露在互联网的Fortinet设备遭到了一种新的symlink后门攻击。这一事件引发了广泛关注，因其可能导致敏感文件的泄露，给用户带来严重的安全隐患。

主要内容：

根据最新的报告，Shadowserver发现目前有16,620台Fortinet设备受到影响。这一后门机制允许攻击者以只读方式访问之前已被攻陷的设备的敏感文件。Fortinet在上周警告客户，发现了一种新的持久性机制，使得攻击者能够在已修补的FortiGate设备上保持远程访问。该攻击并非通过新漏洞实现，而是与2023年开始的攻击活动有关，攻击者利用零日漏洞入侵FortiOS设备。

攻击者在获得设备访问权限后，创建了指向根文件系统的符号链接，尤其是在启用SSL-VPN的设备上。由于语言文件夹对外公开，攻击者能够持续访问根文件系统，即使在初始漏洞被修补后，仍可保持只读访问。Fortinet表示，这种修改发生在用户文件系统中，避免了被检测到。

Fortinet已开始通过电子邮件私下通知受影响的客户，并发布了更新的AV/IPS签名，以检测并移除这一恶意符号链接。此外，最新的固件版本也进行了更新，以防止未知文件和文件夹被内置Web服务器提供服务。由于攻击者可能已获取最新的配置文件，包括凭证，建议所有管理员重置凭证并遵循相关安全步骤。