Según Fortinet, las modificaciones tuvieron lugar en el sistema de archivos del usuario y lograron eludir la detección, haciendo que el enlace simbólico (también conocido como enlace simbólico) permaneciera incluso después de que se taparan los agujeros de seguridad responsables del acceso inicial. Esto, a su vez, permitió a los actores de la amenaza mantener el acceso de sólo lectura a los archivos del sistema de archivos del dispositivo, incluidas las configuraciones. Sin embargo, los clientes que nunca han activado SSL-VPN no se ven afectados por el problema. No está claro quién está detrás de la actividad, pero Fortinet dijo que su investigación indicó que no estaba dirigida a ninguna región o industria específica. También dijo que notificó directamente a los clientes que se vieron afectados por el problema.

Para evitar que estos problemas vuelvan a ocurrir, se han lanzado una serie de actualizaciones de software para FortiOS:

• FortiOS 7.4, 7.2, 7.0 y 6.4 – Symlink se ha marcado como malicioso para que el motor antivirus lo elimine automáticamente.
• FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 y 6.4.16: Se elimina Symlink y se ha modificado la interfaz de usuario de SSL-VPN para evitar que se sirvan enlaces Symlink maliciosos.

Se aconseja a los clientes y usuarios de Fortinet que actualicen sus instancias a las versiones 7.6.2, 7.4.7, 7.2.11, 7.0.17 o 6.4.16 de FortiOS, revisen las configuraciones de los dispositivos y traten todas las configuraciones como potencialmente comprometidas y lleven a cabo los pasos de recuperación adecuados.

La Agencia Estadounidense de Ciberseguridad y Seguridad de las Infraestructuras (CISA) ha emitido su propio aviso, instando a los usuarios a restablecer las credenciales expuestas y recomiendan desactivar de la funcionalidad SSL-VPN hasta que puedan aplicarse los parches. El Equipo de Respuesta a Emergencias Informáticas de Francia (CERT-FR), en un boletín similar, afirma tener constancia de casos que se remontan a principios de 2023.