サイバー攻撃者はフォーティネット デバイスへの攻撃を続けています

サイバー攻撃者はフォーティネット デバイスへの攻撃を続けています

タイムスタンプ:15年2023月4日午後53時
サイバー攻撃者はフォーティネット デバイスの PlatoBlockchain Data Intelligence に対する攻撃を続けています。垂直検索。あい。

XNUMX 月初旬、複数の FortiGate セキュリティ アプライアンスが動作を停止し、ファームウェアが完全性セルフ テストに失敗した後にエラー モードに入ったとき、ある顧客が Fortinet のインシデント対応チームに電話をかけました。

これはサイバー攻撃であり、Fortinet デバイスの最新の脆弱性が発見されました。重大度は中程度ですが、非常に悪用可能なバグです (CVE-2022-41328) 特権を持つ攻撃者がファイルを読み書きできるようにします。 フォーティネットが「高度なアクター」と名付けたこの脅威グループは、政府機関または政府関連組織を標的にしているように見えたと、フォーティネットは次のように述べています。 攻撃の最近の分析.

しかし、今回のインシデントは、攻撃者がフォーティネット デバイスに多大な注意を向けていることも示しています。 そして攻撃対象は広い: 今年これまでのところ、 フォーティネット製品の 60 件の脆弱性に CVE が割り当てられました これは、前のピーク年である 2021 年にフォーティネット デバイスで発見された欠陥の割合の XNUMX 倍です。重要なものもたくさんあります。フォーティネットは今月初め、FortiOS と FortiProxy の重要なバッファ アンダーライトの脆弱性を明らかにしました (CVE-2023-25610) リモートの認証されていない攻撃者が、さまざまなアプライアンスで任意のコードを実行する可能性があります。

関心も高い。 たとえば、XNUMX 月には、あるセキュリティ会社が、サイバー犯罪グループが FortiOS デバイスを侵害するためのアクセスを販売していた ロシアのダーク ウェブ フォーラムで。 しかし、脆弱性が注目を集めたのか、その逆なのかは議論の余地があると、セキュリティ トレーニング会社 Cybrary の脅威インテリジェンス担当シニア ディレクターである David Maynor 氏は述べています。

「攻撃者は水中の血のにおいを嗅ぎます」と彼は言います。 「過去 XNUMX 年間、リモートで悪用可能な脆弱性の数と頻度は、猛烈な速度で増加しています。 Fortinet のエクスプロイトを統合していない国家グループがあるとすれば、彼らはその仕事を怠っていることになります。」

他のネットワーク セキュリティ アプライアンスと同様に、フォーティネットのデバイスは、インターネットと内部ネットワークまたはアプリケーションの間の重要なポイントに存在するため、企業ネットワークへの足がかりを探している攻撃者にとって、侵害する価値のある標的になっていると、脅威インテリジェンス会社 GreyNoise Research の研究チームは述べています。 Dark Reading との電子メール インタビュー。

「フォーティネット デバイスの大部分はエッジ デバイスであり、その結果、一般的にインターネットに接続されています」とチームは述べています。 「これはすべてのエッジ デバイスに当てはまります。 攻撃者がエクスプロイト キャンペーンを実行しようとしている場合、大量のエッジ デバイスが貴重な標的になります。」

研究者はまた、フォーティネットだけが攻撃者の標的になっている可能性は低いと警告しています。

GreyNoise Research は次のように述べています。

Fortinet 攻撃の詳細

フォーティネットは、アドバイザリで、顧客のデバイスへの攻撃について詳細に説明しています。 攻撃者はこの脆弱性を利用して、デバイスのファームウェアを変更し、新しいファームウェア ファイルを追加していました。 攻撃者は、FortiManager ソフトウェアを介して FortiGate デバイスにアクセスし、永続性を維持するためにデバイスの起動スクリプトを変更しました。

悪意のあるファームウェアは、ソフトウェアがコマンド アンド コントロール (C2) サーバーから受け取ったコマンドに応じて、データの流出、ファイルの読み取りと書き込み、または攻撃者にリモート シェルの提供を許可した可能性があると Fortinet は述べています。 他の XNUMX 個以上のファイルも同様に変更されました。

ただし、インシデント分析には、攻撃者が FortiManager ソフトウェアへの特権アクセスを取得した方法や攻撃の日付など、いくつかの重要な情報が欠けていました。 

連絡を受けたとき、同社はインタビューの要求に応じて声明を発表しました。 PSIRT アドバイザリ (FG-IR-22-369) 7 月 2022 日に、CVE-41328-XNUMX に関する推奨される次のステップの詳細が発表されました」と同社は述べています。 「お客様のセキュリティに対する継続的な取り組みの一環として、フォーティネットは追加の詳細と分析を共有しました。 9 月 XNUMX 日のブログ投稿 提供されたガイダンスに従うように顧客にアドバイスし続けます。」

全体として、脆弱性を発見して開示し、インシデント対応の分析を公開することで、フォーティネットは正しいことを行っていると、GreyNoise Research チームは Dark Reading に語った.

「彼らは XNUMX 日後に、エグゼクティブ サマリーを含む詳細な分析を公開し、脆弱性の性質と攻撃者の活動に関する膨大な数の正確な詳細を公開し、防御側に実用的な情報を提供しました」とチームは述べています。 . 「フォーティネットは、この脆弱性について明確に、タイムリーに、正確に伝えることを選択しました。」

タイムスタンプ:

より多くの 暗い読書