Gli aggressori informatici continuano ad attaccare i dispositivi Fortinet

All'inizio di marzo, un cliente ha chiamato il team di risposta agli incidenti di Fortinet quando più dispositivi di sicurezza FortiGate hanno smesso di funzionare, entrando in una modalità di errore dopo che il firmware non ha superato un autotest di integrità.

Si è trattato di un attacco informatico, che ha portato alla scoperta dell'ultima vulnerabilità nei dispositivi Fortinet, un bug di media gravità ma altamente sfruttabile (CVE-2022-41328) che consente a un utente malintenzionato con privilegi di leggere e scrivere file. Il gruppo di minacce, che Fortinet ha etichettato come un "attore avanzato", sembrava prendere di mira agenzie governative o organizzazioni legate al governo, ha dichiarato la società in una recente analisi dell'attacco.

Tuttavia, l'incidente mostra anche che gli aggressori stanno prestando molta attenzione ai dispositivi Fortinet. E la superficie di attacco è ampia: finora quest'anno, A 60 vulnerabilità nei prodotti Fortinet sono stati assegnati CVE e pubblicato nel National Vulnerability Database, il doppio della velocità con cui i difetti sono stati rilevati nei dispositivi Fortinet nel precedente anno di punta, il 2021. Anche molti sono critici: all'inizio di questo mese, Fortinet ha rivelato che un buffer critico sottoscrive la vulnerabilità in FortiOS e FortiProxy (CVE-2023-25610) potrebbe consentire a un utente malintenzionato remoto non autenticato di eseguire qualsiasi codice su una varietà di dispositivi.

Anche l'interesse è alto. A novembre, ad esempio, una società di sicurezza ha avvertito che un gruppo di criminali informatici stava vendendo l'accesso ai dispositivi FortiOS compromessi su un forum del Dark Web russo. Ma se le vulnerabilità abbiano stimolato l'attenzione, o viceversa, è discutibile, afferma David Maynor, direttore senior dell'intelligence sulle minacce presso Cybrary, una società di formazione sulla sicurezza.

"Gli aggressori sentono l'odore del sangue nell'acqua", dice. “Il numero e la frequenza delle vulnerabilità sfruttabili da remoto negli ultimi due anni è aumentato a una velocità vertiginosa. Se c'è un gruppo stato-nazione che non integra gli exploit di Fortinet, si sta trascinando sul lavoro".

Come altre appliance di sicurezza di rete, i dispositivi Fortinet abitano il punto critico tra Internet e le reti o le applicazioni interne, rendendoli un obiettivo prezioso da compromettere per gli aggressori che cercano un punto d'appoggio nelle reti aziendali, ha affermato il team di ricerca della società di intelligence sulle minacce GreyNoise Research in un intervista via e-mail con Dark Reading.

"La grande maggioranza dei dispositivi Fortinet sono dispositivi edge e, di conseguenza, sono comunemente rivolti a Internet", ha affermato il team. “Questo vale per tutti i dispositivi edge. Se un utente malintenzionato sta per affrontare lo sforzo di una campagna di sfruttamento, il volume di dispositivi perimetrali lo rende un obiettivo prezioso.

I ricercatori hanno anche avvertito che Fortinet non è probabilmente l'unico nel mirino degli aggressori.

"Tutti i dispositivi edge di qualsiasi fornitore avranno delle vulnerabilità prima o poi", ha affermato GreyNoise Research.

Attacco Fortinet dettagliato

Fortinet ha descritto in dettaglio l'attacco ai dispositivi dei suoi clienti nel suo avviso. Gli aggressori avevano sfruttato la vulnerabilità per modificare il firmware del dispositivo e aggiungere un nuovo file del firmware. Gli aggressori hanno ottenuto l'accesso ai dispositivi FortiGate tramite il software FortiManager e hanno modificato lo script di avvio dei dispositivi per mantenere la persistenza.

Il firmware dannoso avrebbe potuto consentire l'esfiltrazione di dati, la lettura e la scrittura di file o fornire all'attaccante una shell remota, a seconda del comando ricevuto dal software dal server di comando e controllo (C2), ha affermato Fortinet. Anche più di una mezza dozzina di altri file sono stati modificati.

L'analisi dell'incidente, tuttavia, mancava di diverse informazioni critiche, come il modo in cui gli aggressori hanno ottenuto l'accesso privilegiato al software FortiManager e la data dell'attacco, tra gli altri dettagli. 

Quando è stata contattata, la società ha rilasciato una dichiarazione in risposta a una richiesta di intervista: “Abbiamo pubblicato un avviso PSIRT (FG-IR-22-369) il 7 marzo i dettagli raccomandavano i prossimi passi relativi a CVE-2022-41328", ha affermato la società. "Come parte del nostro costante impegno per la sicurezza dei nostri clienti, Fortinet ha condiviso ulteriori dettagli e analisi in il post sul blog del 9 marzo e continuare a consigliare ai clienti di seguire le indicazioni fornite”.

Nel complesso, trovando e divulgando la vulnerabilità e pubblicando un'analisi della loro risposta agli incidenti, Fortinet sta facendo le cose giuste, ha detto il team di GreyNoise Research a Dark Reading.

"Due giorni dopo hanno pubblicato un'analisi dettagliata che includeva un riepilogo esecutivo, nonché un enorme [numero] di dettagli accurati sulla natura della vulnerabilità e sull'attività dell'attaccante, fornendo ai difensori [con] informazioni utilizzabili", ha affermato il team . "Fortinet ha scelto di comunicare in modo chiaro, tempestivo e accurato su questa vulnerabilità".

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
• Fonte: https://www.darkreading.com/vulnerabilities-threats/cyberattackers-continue-assault-against-fortinet-devices