Contexto
Durante 2025, Fortinet identificó que atacantes estaban creando enlaces simbólicos (symlinks) en el sistema de archivos de equipos FortiGate comprometidos a través de vulnerabilidades en SSL-VPN. Estos symlinks permitían mantener acceso de lectura al sistema incluso después de aplicar los parches de seguridad correspondientes.
Fortinet publicó parches específicos para detectar y eliminar estos symlinks, pero recomienda que todos los administradores verifiquen sus equipos, especialmente aquellos que operaron con SSL-VPN habilitado durante 2024-2025.
Pasos de verificación
1. Verificar versión de FortiOS
Asegúrese de estar ejecutando una versión que incluya la detección de symlinks:
- FortiOS 7.6.2 o superior
- FortiOS 7.4.7 o superior
- FortiOS 7.2.11 o superior
2. Ejecutar diagnóstico de integridad
Desde la CLI del FortiGate:
diagnose sys flash list /
diagnose debug crashlog readBusque entradas que indiquen detección de symlinks o acceso no autorizado al filesystem.
3. Revisar logs de sistema
Filtre los logs del sistema por eventos de tipo “symlink” o “filesystem integrity”.
4. Si detecta symlinks
- Actualice inmediatamente a la última versión disponible de su rama de FortiOS
- Restablezca las credenciales de todos los usuarios SSL-VPN
- Revise los logs de acceso SSL-VPN por actividad sospechosa
- Considere un reset de fábrica y restauración de configuración limpia en casos severos
¿Necesita asistencia?
Si necesita ayuda con la verificación o remediación de sus equipos FortiGate, contáctenos. Nuestro equipo certificado puede realizar la verificación de forma remota.