Hackers continuam explorando vulnerabilidades antigas no FortiOS para comprometer dispositivos FortiGate, mesmo após a aplicação de patches. Segundo a Fortinet, um agente de ameaças sofisticado tem usado falhas como CVE-2022-42475, CVE-2023-27997 e CVE-2024-21762 para obter execução remota de código e, posteriormente, manter acesso furtivo aos dispositivos corrigidos. O truque? A criação de um link simbólico entre o sistema de arquivos do usuário e o sistema raiz, escondido em uma pasta usada pela interface SSL-VPN, uma técnica engenhosa para garantir acesso somente leitura mesmo após a remediação do vetor original.
Leia também
App Store promoverá apps de desenvolvedores
Novo malware para Android rouba dados bancários
O problema é que essa modificação não era removida automaticamente nas versões antigas do FortiOS. Apenas as edições mais recentes, como as 7.6.2, 7.4.7 e 7.2.11, passaram a eliminar o link simbólico malicioso e impedir a exploração via SSL-VPN. Antes disso, a detecção dependia de uma assinatura IPS específica, que só funcionava se o cliente tivesse o módulo licenciado e ativado. A Fortinet começou a alertar diretamente os clientes afetados por e-mail, orientando sobre atualizações, redefinição de credenciais e revisão de configurações.
O alerta se estendeu também a órgãos nacionais. Na Alemanha, o BSI (agência federal de segurança cibernética) recomendou que administradores verifiquem se suas tentativas de contato com a Fortinet foram ignoradas e conduzam análises forenses completas antes de qualquer reinicialização. O órgão enfatizou ainda que, mesmo após o lançamento do patch, quase 700 dispositivos vulneráveis ao CVE-2024-21762 ainda estavam em operação no país em abril de 2025.
Na França, o CERT-FR confirmou uma campanha de larga escala explorando essas falhas, com registros de comprometimentos desde o início de 2023. As autoridades recomendam investigações extensas para verificar se o firewall foi rompido, bem como a troca preventiva de credenciais e segredos associados, especialmente em ambientes de alta segurança.
Essa cadeia de ataques demonstra que atualizar o sistema não é suficiente se o invasor já deixou implantes persistentes. Para a Fortinet e seus usuários, a lição é clara: é preciso combinar atualizações com auditorias profundas, validação da integridade dos arquivos e revisão dos canais de comunicação com o fornecedor.
