执行摘要

事件概述

在超过16,000台Fortinet防火墙中发现了一个隐蔽的持久性后门。这不是一个新漏洞，而是攻击者利用系统的一个细微部分（语言文件夹）来维持未经授权的访问，即使在原始漏洞已被修补后仍然有效。

影响范围

被认为"安全"的设备可能仍然受到威胁。攻击者通过文件系统上的符号链接获得了对敏感系统文件的只读访问权限，完全绕过了传统的身份验证和检测。即使设备在数月前已打补丁，攻击者可能仍然存在。

业务风险

• 敏感配置文件暴露（包括VPN、管理员和用户数据）
• 面向客户的基础设施受损带来的声誉风险
• 行业合规性问题（HIPAA、PCI等）
• 对设备配置和信任边界的控制丧失

应对措施

我们实施了有针对性的修复计划，包括固件修补、凭证重置、文件系统审计和访问控制更新。我们还嵌入了长期控制措施，以监控未来类似的持久性攻击策略。

领导层关键要点

这不仅关乎一个供应商或一个CVE。这提醒我们，修补只是安全运营模型中的一个步骤。我们正在更新流程，在所有网络设备上包含持久性威胁检测，因为攻击者不会等待下一个CVE来发动攻击。

事件详情

攻击者通过在语言文件文件夹中植入符号链接来利用Fortinet防火墙。这些链接指向敏感的根级文件，然后通过SSL-VPN Web界面进行访问。

结果：攻击者无需凭据且不会触发警报即可获得系统数据的只读访问权限。即使固件补丁后，此后门仍然存在，除非您知道要删除它。

移除后门的FortiOS版本：

• 7.6.2
• 7.4.7
• 7.2.11
• 7.0.17
• 6.4.16

如果您运行的是更旧的版本，请假设已受到攻击并相应采取行动。

真正教训

我们倾向于将修补视为完全重置。事实并非如此。如今的攻击者具有持久性。他们不仅仅是进入并横向移动，而是悄悄地潜入并停留。

这里的真正问题不是技术缺陷，而是运营信任中的盲点：假设一旦我们打了补丁，就万事大吉。这种假设不再安全。

运营解决方案：一键运行手册

手册：Fortinet符号链接后门修复

目的： 修复影响FortiGate设备的符号链接后门漏洞。包括修补、审计、凭证清理和确认移除任何持久性未经授权访问。

1. 确定环境范围

• 识别所有使用中的Fortinet设备（物理或虚拟）
• 清点所有固件版本
• 检查哪些设备启用了SSL-VPN

2. 修补固件

修补到以下最低版本：

• FortiOS 7.6.2
• FortiOS 7.4.7
• FortiOS 7.2.11
• FortiOS 7.0.17
• FortiOS 6.4.16

步骤：

• 从Fortinet支持门户下载固件
• 安排停机时间或滚动升级窗口
• 应用更新前备份配置
• 通过GUI或CLI应用固件更新

3. 修补后验证

更新后：

• 使用get system status确认版本
• 验证SSL-VPN是否正常运行（如果使用）
• 运行diagnose sys flash list确认移除未经授权的符号链接（新固件中包含的Fortinet脚本应自动清理）

4. 凭证和会话清理

• 强制重置所有管理员账户密码
• 撤销并重新发放存储在FortiGate中的任何本地用户凭证
• 使所有当前VPN会话失效

5. 系统和配置审计

• 审查管理员账户列表中的未知用户
• 验证当前配置文件（show full-configuration）是否存在意外更改
• 搜索文件系统中剩余的符号链接（可选）：

  1	find / -type l -ls | grep -v "/usr"

6. 监控和检测

• 在SSL-VPN和管理界面上启用完整日志记录
• 导出日志进行分析和保留
• 与SIEM集成以警报：
  • 异常管理员登录
  • 访问异常Web资源
  • 预期地理位置之外的VPN访问

7. 强化SSL-VPN

• 限制外部暴露（使用IP允许列表或地理围栏）
• 要求所有VPN访问使用MFA
• 除非绝对需要，否则禁用Web模式访问
• 关闭未使用的Web组件（例如主题、语言包）

变更控制摘要

回滚计划

如果升级导致故障：

1. 使用控制台访问重新启动到先前的固件分区
2. 运行：exec set-next-reboot primary或secondary（取决于哪个已升级）
3. 恢复备份的配置（修补前）
4. 暂时禁用SSL-VPN，以防止在问题调查期间暴露
5. 通知信息安全团队并通过Fortinet支持升级

最终思考

这不是一个遗漏的补丁。这是一个未能假设攻击者会公平竞争的失败。

如果您只验证某物是否"易受攻击"，那么您就错过了更大的图景。您需要问：是否可能有人已经在这里？

如今的安全意味着缩小攻击者可以操作的空间，并假设他们足够聪明，能够利用您系统的边缘来对付您。