Fortinet alerta: técnica de pós-exploração mantém acesso em dispositivos FortiGate mesmo após aplicação de patches

Em 11 de abril de 2025, a Fortinet publicou advisory e a CISA emitiu alerta informando que atacantes desenvolveram uma técnica de pós-exploração que mantém acesso persistente em dispositivos FortiGate mesmo após a aplicação de patches de segurança. A técnica envolve a criação de links simbólicos no sistema de arquivos do dispositivo que sobrevivem às atualizações de firmware, permitindo leitura contínua do sistema de arquivos raiz sem necessidade de reexplorar vulnerabilidades.

Casos de firewalls FortiGate completamente atualizados sendo recompromissos foram documentados em janeiro de 2026, demonstrando que a simples aplicação de patches pode ser insuficiente sem verificação da integridade do sistema após comprometimento anterior. A técnica foi associada principalmente ao aproveitamento de vulnerabilidades críticas anteriores no PAN-OS e FortiOS.

Administradores de FortiGate devem verificar a integridade do sistema de arquivos usando as ferramentas de diagnóstico fornecidas pela Fortinet, mesmo em dispositivos que já receberam patches. A Fortinet disponibilizou scripts de verificação de integridade. Também recomenda-se revisar backups de configuração, habilitar alertas para modificações não autorizadas no sistema de arquivos e considerar reinstalação limpa do firmware em dispositivos que tenham histórico de comprometimento suspeito.

Fonte: Fortinet PSIRT / CISA.