Na początku marca klient wezwał zespół Fortinet do reagowania na incydenty, gdy wiele urządzeń zabezpieczających FortiGate przestało działać, przechodząc w tryb błędu po niepowodzeniu autotestu integralności oprogramowania układowego.
Był to cyberatak, który doprowadził do odkrycia najnowszej luki w zabezpieczeniach urządzeń Fortinet, błędu o średniej wadze, ale wysoce podatnego na wykorzystanie (CVE-2022-41328), który umożliwia uprzywilejowanej osobie atakującej odczytywanie i zapisywanie plików. Grupa zagrożeń, którą Fortinet nazwał „zaawansowanym aktorem”, wydawała się atakować agencje rządowe lub organizacje powiązane z rządem, jak stwierdziła firma w najnowsza analiza ataku.
Jednak incydent pokazuje również, że osoby atakujące poświęcają urządzeniom Fortinet znaczną uwagę. A powierzchnia ataku jest szeroka: jak dotąd w tym roku 60 lukom w zabezpieczeniach produktów Fortinet przypisano CVE i opublikowano w National Vulnerability Database, dwukrotnie szybciej niż wykrywano luki w urządzeniach Fortinet w poprzednim szczytowym roku, 2021. Wiele z nich ma również krytyczne znaczenie: na początku tego miesiąca firma Fortinet ujawniła, że krytyczny bufor zabezpiecza luki w zabezpieczeniach systemów FortiOS i FortiProxy (CVE-2023-25610) może umożliwić zdalnemu nieuwierzytelnionemu atakującemu uruchomienie dowolnego kodu na różnych urządzeniach.
Zainteresowanie jest również duże. Na przykład w listopadzie jedna z firm zajmujących się bezpieczeństwem ostrzegła grupę cyberprzestępczą sprzedawał dostęp do urządzeń z systemem FortiOS na rosyjskim forum ciemnej sieci. Ale czy luki w zabezpieczeniach zwróciły uwagę, czy odwrotnie, jest kwestią sporną, mówi David Maynor, starszy dyrektor ds. wywiadu o zagrożeniach w Cybrary, firmie szkolącej w zakresie bezpieczeństwa.
„Napastnicy wyczuli krew w wodzie” – mówi. „Liczba i częstotliwość luk w zabezpieczeniach, które można wykorzystać zdalnie, w ciągu ostatnich dwóch lat wzrosła w zawrotnym tempie. Jeśli istnieje grupa państw narodowych, która nie integruje exploitów Fortinet, garbią się w pracy”.
Podobnie jak inne urządzenia zabezpieczające sieć, urządzenia Fortinet znajdują się w krytycznym punkcie między Internetem a wewnętrznymi sieciami lub aplikacjami, co czyni je cennym celem dla atakujących szukających przyczółka w sieciach korporacyjnych, powiedział zespół badawczy z firmy GreyNoise Research zajmującej się analizą zagrożeń. e-mailowy wywiad z Dark Reading.
„Zdecydowana większość urządzeń Fortinet to urządzenia brzegowe, w wyniku czego często są one skierowane do Internetu” — powiedział zespół. „Dotyczy to wszystkich urządzeń brzegowych. Jeśli atakujący zamierza przejść przez kampanię wykorzystującą luki w zabezpieczeniach, ilość urządzeń brzegowych stanowi cenny cel”.
Naukowcy ostrzegli również, że Fortinet prawdopodobnie nie jest sam na celowniku atakujących.
„Wszystkie urządzenia brzegowe dowolnego dostawcy prędzej czy później będą miały luki” – powiedział GreyNoise Research.
Szczegóły ataku Fortinet
Fortinet szczegółowo opisał atak na urządzenia swoich klientów w swoim poradniku. Atakujący wykorzystali tę lukę do zmodyfikowania oprogramowania sprzętowego urządzenia i dodania nowego pliku oprogramowania układowego. Atakujący uzyskali dostęp do urządzeń FortiGate za pośrednictwem oprogramowania FortiManager i zmodyfikowali skrypt uruchamiania urządzeń, aby zachować trwałość.
Złośliwe oprogramowanie mogło pozwolić na eksfiltrację danych, odczyt i zapis plików lub dać atakującemu zdalną powłokę, w zależności od polecenia, które oprogramowanie otrzymało z serwera dowodzenia i kontroli (C2), stwierdził Fortinet. Zmodyfikowano również ponad pół tuzina innych plików.
W analizie incydentu brakowało jednak kilku krytycznych informacji, takich jak między innymi sposób, w jaki osoby atakujące uzyskały uprzywilejowany dostęp do oprogramowania FortiManager oraz data ataku.
Po skontaktowaniu się firma wydała oświadczenie w odpowiedzi na prośbę o wywiad: „Opublikowaliśmy porada PSIRT (FG-IR-22-369) w dniu 7 marca zawierały zalecenia dotyczące dalszych kroków dotyczących luki CVE-2022-41328” — podała firma. „W ramach naszego nieustannego zaangażowania w bezpieczeństwo naszych klientów firma Fortinet udostępniła dodatkowe szczegóły i analizy wpis na blogu z 9 marca i nadal doradzać klientom, aby postępowali zgodnie z dostarczonymi wskazówkami”.
Ogólnie rzecz biorąc, znajdując i ujawniając lukę w zabezpieczeniach oraz publikując analizę odpowiedzi na incydent, Fortinet robi właściwe rzeczy, powiedział zespół GreyNoise Research w Dark Reading.
„Dwa dni później opublikowali szczegółową analizę, w tym podsumowanie wykonawcze, a także ogromną [liczbę] dokładnych szczegółów na temat natury luki i aktywności atakującego, dostarczając obrońcom [z] przydatnych informacji wywiadowczych” – stwierdził zespół . „Firma Fortinet zdecydowała się jasno, terminowo i dokładnie informować o tej luce w zabezpieczeniach”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://www.darkreading.com/vulnerabilities-threats/cyberattackers-continue-assault-against-fortinet-devices
- :Jest
- 2021
- 7
- 9
- a
- O nas
- dostęp
- dokładny
- dokładnie
- działalność
- Dodatkowy
- zaawansowany
- doradczy
- Po
- przed
- agencje
- Wszystkie kategorie
- pozwala
- sam
- wśród
- analiza
- i
- pojawił się
- Urządzenia
- aplikacje
- SĄ
- AS
- przydzielony
- At
- atakować
- Uwaga
- BE
- pomiędzy
- Blog
- krew
- bufor
- Bug
- by
- nazywa
- Kampania
- wybrał
- wyraźnie
- kod
- zobowiązanie
- powszechnie
- komunikować
- sukcesy firma
- kompromis
- kontynuować
- Korporacyjny
- mógłby
- krytyczny
- klient
- Klientów
- Cyber atak
- CYBERPRZESTĘPCA
- Ciemny
- Mroczne czytanie
- Mroczny WWW
- dane
- Baza danych
- Data
- David
- Dni
- obrońcy
- W zależności
- opisane
- detal
- szczegółowe
- detale
- urządzenie
- urządzenia
- Dyrektor
- Ujawnianie
- odkrycie
- robi
- Podwójna
- tuzin
- Wcześniej
- Wcześnie
- krawędź
- wysiłek
- błąd
- przykład
- wykonawczy
- eksfiltracja
- eksploatacja
- exploity
- okładzina
- Failed
- filet
- Akta
- znalezieniu
- Firma
- Skazy
- obserwuj
- W razie zamówieenia projektu
- Fortinet
- Forum
- Częstotliwość
- od
- dany
- Dający
- Go
- będzie
- Rząd
- Zarządzanie
- poradnictwo
- Pół
- Have
- Wysoki
- wysoko
- W jaki sposób
- Jednak
- HTTPS
- in
- incydent
- reakcja na incydent
- Włącznie z
- wzrosła
- Informacja
- Integracja
- integralność
- Inteligencja
- wewnętrzny
- Internet
- Wywiad
- Wydany
- JEGO
- Praca
- jpg
- duży
- Nazwisko
- firmy
- Doprowadziło
- Prawdopodobnie
- poszukuje
- utrzymać
- Większość
- Dokonywanie
- March
- masywny
- średni
- Moda
- zmodyfikowano
- modyfikować
- Miesiąc
- jeszcze
- wielokrotność
- narodowy
- Natura
- sieć
- Bezpieczeństwo sieci
- sieci
- Nowości
- Następny
- nist
- listopad
- numer
- of
- on
- ONE
- trwający
- organizacji
- Inne
- część
- Szczyt
- uporczywość
- sztuk
- plato
- Analiza danych Platona
- PlatoDane
- Volcano Plenty Vaporizer Storz & Bickel
- punkt
- poprzedni
- uprzywilejowany
- Produkty
- pod warunkiem,
- że
- opublikowany
- Wydawniczy
- Kurs
- Czytaj
- Czytający
- Odebrane
- niedawny
- Zalecana
- w sprawie
- zdalny
- zażądać
- Badania naukowe
- Badacze
- odpowiedź
- dalsze
- Ujawnił
- run
- Rosyjski
- s
- Powiedział
- mówią
- bezpieczeństwo
- SAMEGO SIEBIE
- Sprzedawanie
- senior
- kilka
- shared
- Powłoka
- Targi
- znaczący
- So
- dotychczas
- Tworzenie
- kilka
- prędkość
- Uruchomienie
- stwierdził,
- Zestawienie sprzedaży
- Cel
- zatrzymany
- taki
- PODSUMOWANIE
- Powierzchnia
- cel
- kierowania
- zespół
- test
- że
- Połączenia
- ich
- Im
- rzeczy
- w tym roku
- groźba
- Przez
- do
- także
- Trening
- prawdziwy
- Cenny
- różnorodność
- sprzedawców
- przez
- Tom
- Luki w zabezpieczeniach
- wrażliwość
- Uzdatnianie wody
- sieć
- DOBRZE
- czy
- który
- szeroki
- będzie
- w
- pracujący
- napisać
- pisanie
- rok
- lat
- zefirnet
