Penyerang Cyber ​​Melanjutkan Serangan Terhadap Perangkat Fortinet

Pada awal Maret, seorang pelanggan menghubungi tim tanggap insiden Fortinet ketika beberapa peralatan keamanan FortiGate berhenti bekerja, memasuki mode kesalahan setelah firmware gagal dalam uji mandiri integritas.

Itu adalah serangan dunia maya, yang mengarah pada penemuan kerentanan terbaru di perangkat Fortinet, bug dengan tingkat keparahan sedang tetapi sangat dapat dieksploitasi (CVE-2022-41328) yang memungkinkan penyerang istimewa untuk membaca dan menulis file. Kelompok ancaman, yang diberi label Fortinet sebagai "aktor tingkat lanjut", tampaknya menargetkan lembaga pemerintah atau organisasi terkait pemerintah, kata perusahaan itu dalam analisis serangan baru-baru ini.

Namun insiden tersebut juga menunjukkan bahwa penyerang memberikan perhatian yang signifikan pada perangkat Fortinet. Dan permukaan serangannya luas: Sepanjang tahun ini, 60 kerentanan dalam produk Fortinet telah diberikan CVE dan diterbitkan di National Vulnerability Database, menggandakan tingkat di mana kelemahan terungkap di perangkat Fortinet pada puncak tahun sebelumnya, 2021. Banyak juga yang kritis: Awal bulan ini, Fortinet mengungkapkan bahwa buffer kritis menanggung kerentanan di FortiOS dan FortiProxy (CVE-2023-25610) dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk menjalankan kode apa pun pada berbagai peralatan.

Minatnya juga tinggi. Pada bulan November, misalnya, satu perusahaan keamanan memperingatkan bahwa ada kelompok penjahat dunia maya menjual akses untuk menyusupi perangkat FortiOS di forum Web Gelap Rusia. Tetapi apakah kerentanan telah menarik perhatian, atau sebaliknya, masih diperdebatkan, kata David Maynor, direktur senior intelijen ancaman di Cybrary, sebuah perusahaan pelatihan keamanan.

"Penyerang mencium bau darah di dalam air," katanya. “Jumlah dan frekuensi kerentanan yang dapat dieksploitasi dari jarak jauh selama dua tahun terakhir telah meningkat dengan kecepatan yang sangat tinggi. Jika ada kelompok negara-bangsa yang tidak mengintegrasikan eksploitasi Fortinet, mereka malas bekerja.”

Seperti peralatan keamanan jaringan lainnya, perangkat Fortinet menghuni titik kritis antara Internet dan jaringan atau aplikasi internal, menjadikannya target yang berharga untuk dikompromikan bagi penyerang yang mencari pijakan ke dalam jaringan perusahaan, kata tim peneliti dari firma intelijen ancaman GreyNoise Research dalam sebuah pernyataan. wawancara email dengan Dark Reading.

“Sebagian besar perangkat Fortinet adalah perangkat edge, dan akibatnya umumnya menghadap ke Internet,” kata tim tersebut. “Ini berlaku untuk semua perangkat edge. Jika seorang penyerang akan melalui upaya kampanye eksploitasi, volume perangkat edge membuat [s] untuk target yang berharga.

Para peneliti juga memperingatkan bahwa Fortinet tidak mungkin sendirian di garis bidik penyerang.

“Semua perangkat edge dari vendor mana pun cepat atau lambat akan memiliki kerentanan,” kata GreyNoise Research.

Detil Serangan Fortinet

Fortinet menjelaskan serangan terhadap perangkat pelanggannya secara mendetail dalam sarannya. Penyerang telah menggunakan kerentanan untuk memodifikasi firmware perangkat dan menambahkan file firmware baru. Penyerang memperoleh akses ke perangkat FortiGate melalui perangkat lunak FortiManager dan memodifikasi skrip start-up perangkat untuk mempertahankan persistensi.

Firmware jahat dapat memungkinkan eksfiltrasi data, membaca dan menulis file, atau memberi penyerang remote shell, tergantung pada perintah yang diterima perangkat lunak dari server command-and-control (C2), kata Fortinet. Lebih dari setengah lusin file lainnya juga dimodifikasi.

Analisis insiden, bagaimanapun, tidak memiliki beberapa informasi penting, seperti bagaimana penyerang mendapatkan akses istimewa ke perangkat lunak FortiManager dan tanggal serangan, di antara detail lainnya. 

Saat dihubungi, perusahaan mengeluarkan pernyataan sebagai tanggapan atas permintaan wawancara: “Kami menerbitkan penasehat PSIRT (FG-IR-22-369) pada 7 Maret rincian merekomendasikan langkah selanjutnya terkait CVE-2022-41328, ”kata perusahaan itu. “Sebagai bagian dari komitmen berkelanjutan kami terhadap keamanan pelanggan kami, Fortinet membagikan detail dan analisis tambahan di posting blog 9 Maret dan terus menyarankan pelanggan untuk mengikuti panduan yang diberikan.”

Secara keseluruhan, dengan menemukan dan mengungkapkan kerentanan, dan menerbitkan analisis tanggapan insiden mereka, Fortinet melakukan hal yang benar, kata tim Riset GreyNoise kepada Dark Reading.

“Mereka menerbitkan analisis terperinci dua hari kemudian termasuk ringkasan eksekutif, serta [sejumlah] besar detail akurat tentang sifat kerentanan dan aktivitas penyerang, memberikan intelijen yang dapat ditindaklanjuti kepada para pembela HAM,” tim menyatakan . “Fortinet memilih untuk mengomunikasikan kerentanan ini dengan jelas, tepat waktu, dan akurat.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
• Sumber: https://www.darkreading.com/vulnerabilities-threats/cyberattackers-continue-assault-against-fortinet-devices