Begin maart schakelde een klant het incidentresponsteam van Fortinet in toen meerdere FortiGate-beveiligingsappliances niet meer werkten en in een foutmodus terechtkwamen nadat de firmware een integriteitszelftest had doorstaan.
Het was een cyberaanval die leidde tot de ontdekking van de nieuwste kwetsbaarheid in Fortinet-apparaten, een middelzware maar zeer misbruikbare bug (CVE-2022-41328) waarmee een geprivilegieerde aanvaller bestanden kan lezen en schrijven. De dreigingsgroep, die Fortinet bestempelde als een "geavanceerde actor", leek het te hebben gemunt op overheidsinstanties of aan de overheid gerelateerde organisaties, aldus het bedrijf in een recente analyse van de aanval.
Toch laat het incident ook zien dat aanvallers forse aandacht besteden aan Fortinet-toestellen. En het aanvalsoppervlak is breed: tot nu toe dit jaar Aan 60 kwetsbaarheden in Fortinet-producten zijn CVE's toegewezen en gepubliceerd in de National Vulnerability Database, verdubbelen de snelheid waarmee fouten in Fortinet-apparaten werden onthuld in het vorige topjaar, 2021. Veel zijn ook kritiek: eerder deze maand onthulde Fortinet dat een kritieke buffer de kwetsbaarheid in FortiOS en FortiProxy onderschrijft (CVE-2023-25610) kan een niet-geverifieerde aanvaller op afstand in staat stellen om elke willekeurige code op verschillende apparaten uit te voeren.
De belangstelling is ook groot. Zo waarschuwde een beveiligingsbedrijf in november dat een groep cybercriminelen verkocht toegang tot gecompromitteerde FortiOS-apparaten op een Russisch Dark Web-forum. Maar of de kwetsbaarheden de aandacht hebben getrokken, of andersom, is twijfelachtig, zegt David Maynor, senior director of threat intelligence bij Cybrary, een beveiligingstrainingsbedrijf.
"Aanvallers ruiken bloed in het water", zegt hij. โHet aantal en de frequentie van op afstand exploiteerbare kwetsbaarheden is de afgelopen twee jaar in een razend tempo toegenomen. Als er een natiestaatgroep is die de exploits van Fortinet niet integreert, zijn ze traag aan het werk.โ
Net als andere netwerkbeveiligingsapparatuur bezetten Fortinet-apparaten het kritieke punt tussen het internet en interne netwerken of applicaties, waardoor ze een waardevol doelwit zijn om compromissen te sluiten voor aanvallers die voet aan de grond willen krijgen in bedrijfsnetwerken, aldus het onderzoeksteam van het bedreigingsinformatiebureau GreyNoise Research in een e-mailinterview met Dark Reading.
"Een grote meerderheid van de Fortinet-apparaten zijn edge-apparaten en zijn daarom vaak internetgericht", aldus het team. โDit geldt voor alle edge-apparaten. Als een aanvaller de inspanning van een uitbuitingscampagne gaat doorstaan, vormt het aantal edge-apparaten een waardevol doelwit.โ
De onderzoekers waarschuwden ook dat Fortinet waarschijnlijk niet de enige is in het vizier van aanvallers.
"Alle edge-apparaten van welke leverancier dan ook zullen vroeg of laat kwetsbaarheden vertonen", aldus GreyNoise Research.
Fortinet-aanval gedetailleerd
Fortinet beschreef de aanval op de apparaten van zijn klanten in enig detail in zijn advies. De aanvallers hadden de kwetsbaarheid gebruikt om de firmware van het apparaat aan te passen en een nieuw firmwarebestand toe te voegen. De aanvallers kregen toegang tot de FortiGate-apparaten via de FortiManager-software en pasten het opstartscript van de apparaten aan om persistentie te behouden.
De kwaadaardige firmware had data-exfiltratie, het lezen en schrijven van bestanden mogelijk gemaakt of de aanvaller een externe shell gegeven, afhankelijk van het commando dat de software ontving van de command-and-control (C2)-server, aldus Fortinet. Meer dan een half dozijn andere bestanden werden ook gewijzigd.
Bij de incidentanalyse ontbraken echter verschillende cruciale stukjes informatie, zoals hoe de aanvallers geprivilegieerde toegang tot de FortiManager-software kregen en de datum van de aanval, naast andere details.
Toen er contact werd opgenomen, gaf het bedrijf een verklaring af in reactie op een interviewverzoek: โWe hebben gepubliceerd een PSIRT-advies (FG-IR-22-369) op 7 maart die details aanbevolen volgende stappen met betrekking tot CVE-2022-41328, "zei het bedrijf. โAls onderdeel van onze voortdurende toewijding aan de veiligheid van onze klanten, heeft Fortinet aanvullende details en analyses gedeeld in de blogpost van 9 maart en klanten blijven adviseren om de geboden richtlijnen op te volgen.โ
Door het vinden en onthullen van de kwetsbaarheid en het publiceren van een analyse van hun reactie op incidenten, doet Fortinet over het algemeen de juiste dingen, vertelde het GreyNoise Research-team aan Dark Reading.
"Ze publiceerden twee dagen later een gedetailleerde analyse, inclusief een samenvatting, evenals een enorm [aantal] nauwkeurige details over de aard van de kwetsbaarheid en de activiteit van de aanvaller, waardoor verdedigers bruikbare informatie kregen", aldus het team. . "Fortinet heeft ervoor gekozen om duidelijk, tijdig en nauwkeurig te communiceren over deze kwetsbaarheid."
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://www.darkreading.com/vulnerabilities-threats/cyberattackers-continue-assault-against-fortinet-devices
- :is
- 2021
- 7
- 9
- a
- Over
- toegang
- accuraat
- nauwkeurig
- activiteit
- Extra
- vergevorderd
- adviserend
- Na
- tegen
- agentschappen
- Alles
- toestaat
- alleen
- onder
- analyse
- en
- verscheen
- huishoudelijke apparaten
- toepassingen
- ZIJN
- AS
- toegewezen
- At
- aanvallen
- aandacht
- BE
- tussen
- Blog
- bloed
- buffer
- Bug
- by
- Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
- Campagne
- koos
- duidelijk
- code
- verplichting
- algemeen
- communiceren
- afstand
- compromis
- voortzetten
- Bedrijfs-
- kon
- kritisch
- klant
- Klanten
- Cyber โโaanval
- CYBERCRIMINEEL
- Donker
- Donkere lezing
- Dark Web
- gegevens
- Database
- Datum
- David
- dagen
- verdedigers
- Afhankelijk
- beschreven
- detail
- gedetailleerd
- gegevens
- apparaat
- systemen
- Director
- openbaarmaking
- ontdekking
- doen
- verdubbelen
- dozijn
- Vroeger
- Vroeg
- rand
- inspanning
- fout
- voorbeeld
- uitvoerend
- exfiltratie
- exploitatie
- exploits
- naar
- Mislukt
- Dien in
- Bestanden
- het vinden van
- Stevig
- gebreken
- volgen
- Voor
- Fortinet
- Forum
- Frequentie
- oppompen van
- gegeven
- Vrijgevigheid
- Go
- gaan
- Overheid
- Groep
- leiding
- Helft
- Hebben
- Hoge
- zeer
- Hoe
- Echter
- HTTPS
- in
- incident
- incident reactie
- Inclusief
- meer
- informatie
- Integreren
- integriteit
- Intelligentie
- intern
- Internet
- Interview
- Uitgegeven
- HAAR
- Jobomschrijving:
- jpg
- Groot
- Achternaam*
- laatste
- LED
- Waarschijnlijk
- op zoek
- onderhouden
- Meerderheid
- maken
- Maart
- massief
- Medium
- Mode
- gewijzigd
- wijzigen
- Maand
- meer
- meervoudig
- nationaal
- NATUUR
- netwerk
- Netwerk veiligheid
- netwerken
- New
- volgende
- NIST
- November
- aantal
- of
- on
- EEN
- lopend
- organisaties
- Overige
- deel
- Hoogtepunt
- volharding
- stukken
- Plato
- Plato gegevensintelligentie
- PlatoData
- Overvloed
- punt
- vorig
- bevoorrecht
- Producten
- mits
- het verstrekken van
- gepubliceerde
- Reclame
- tarief
- Lees
- lezing
- ontvangen
- recent
- aanbevolen
- met betrekking tot
- vanop
- te vragen
- onderzoek
- onderzoekers
- antwoord
- resultaat
- Revealed
- lopen
- Russisch
- s
- Zei
- zegt
- veiligheid
- ZELF
- binnen XNUMX minuten
- senior
- verscheidene
- gedeeld
- Shell
- Shows
- aanzienlijke
- So
- dusver
- Software
- sommige
- snelheid
- Start-up
- bepaald
- Statement
- Stappen
- gestopt
- dergelijk
- OVERZICHT
- Oppervlak
- doelwit
- targeting
- team
- proef
- dat
- De
- hun
- Ze
- spullen
- dit jaar
- bedreiging
- Door
- naar
- ook
- Trainingen
- waar
- waardevol
- variรซteit
- vendors
- via
- volume
- kwetsbaarheden
- kwetsbaarheid
- Water
- web
- GOED
- of
- welke
- breed
- wil
- Met
- werkzaam
- schrijven
- het schrijven van
- jaar
- jaar
- zephyrnet
