A Fortinet alertou que atores maliciosos estão utilizando uma técnica de pós-exploração para manter acesso de leitura em dispositivos FortiGate, mesmo após a aplicação de correções para vulnerabilidades conhecidas. Essa persistência é possível por meio da criação de links simbólicos (symlinks) no diretório de arquivos de idioma do SSL-VPN, conectando o sistema de arquivos do usuário ao sistema de arquivos raiz.

Esses symlinks permanecem mesmo após a atualização do FortiOS, permitindo que os invasores continuem acessando arquivos sensíveis, como configurações do dispositivo. A técnica depende do SSL-VPN estar habilitado no dispositivo. Dispositivos que nunca ativaram essa funcionalidade não são afetados. Fortinet identificou que essa abordagem foi utilizada em conjunto com vulnerabilidades já corrigidas, como CVE-2022-42475, CVE-2023-27997 e CVE-2024-21762.

A empresa notificou diretamente os clientes afetados e lançou atualizações de segurança para remover os symlinks maliciosos e impedir que o SSL-VPN sirva arquivos não autorizados. As versões recomendadas para atualização são FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 e 6.4.16. Além disso, é aconselhável revisar as configurações dos dispositivos, tratar todas as configurações como potencialmente comprometidas e seguir os passos de recuperação apropriados. A CISA também emitiu um alerta, recomendando o reset de credenciais expostas e, como medida provisória, a desativação do SSL-VPN até que as correções sejam aplicadas.