今年1月资安业者Arctic Wolf揭露攻击行动Console Chaos，骇客锁定Fortinet防火墙的零时差漏洞CVE-2024-55591而来，隔月Fortinet透露这起攻击行动攻击者搭配另一项身分验证绕过漏洞CVE-2025-24472，然而近期出现攻击者利用已知漏洞的情况。

4月10日，资安业者Fortinet发布警告，揭露他们近期发现锁定该厂牌防火墙FortiGate已知漏洞而来的攻击行动，攻击者针对已启用SSL VPN功能的防火墙设备而来，以便在唯读存取FortiGate的状态下，持续读取受害FortiGate设备的文件系统，而得以撷取系统组态资讯，这些遭到利用的漏洞，包含：CVE-2022-42475、CVE-2023-27997、CVE-2024-21762，CVSS风险介于9.2至9.5分。Fortinet在察觉此事后启动PSIRT事件回应工作，开发缓解措施，并与受到影响的客户合作来因应。该公司呼吁用户，应更新防火墙作业系统FortiOS至7.6.2、7.4.7、7.2.11、7.0.17、6.4.16版因应这波攻击。

对于骇客利用上述的资安漏洞，Fortinet指出骇客的目的是建立唯读的存取管道，骇客藉由受害防火墙尚未修补的漏洞，将使用者文件系统（user filesystem，/usr资料夹）及根文件系统（root filesystem，最上层的/资料夹）当中，用于处理SSL VPN语言文件的资料夹进行符号连结（Symbolic Link），由于这种窜改手法发生在使用者文件系统上，使得攻击者能够回避侦测。

值得留意的是，Fortinet也提及若是受害组织察觉异状，仅有修补前述已知漏洞，由于攻击者打造的符号连结很可能还保留在设备上，使得他们有机会藉此持续存取受害的防火墙。Fortinet指出，只有曾经启用SSL VPN机制的防火墙才会受到影响，未曾启用这类机制的企业组织不会曝险。