No início de março, um cliente ligou para a equipe de resposta a incidentes da Fortinet quando vários dispositivos de segurança FortiGate pararam de funcionar, entrando em modo de erro depois que o firmware falhou em um autoteste de integridade.
Foi um ataque cibernético, que levou à descoberta da mais recente vulnerabilidade nos dispositivos Fortinet, um bug de gravidade média, mas altamente explorável (CVE-2022-41328) que permite que um invasor privilegiado leia e grave arquivos. O grupo de ameaças, que a Fortinet rotulou como um “ator avançado”, parecia ter como alvo agências governamentais ou organizações relacionadas ao governo, afirmou a empresa em uma análise recente do ataque.
No entanto, o incidente também mostra que os invasores estão dando atenção significativa aos dispositivos Fortinet. E a superfície de ataque é ampla: até agora este ano, 60 vulnerabilidades em produtos Fortinet foram atribuídas CVEs e publicado no National Vulnerability Database, o dobro da taxa em que as falhas foram divulgadas nos dispositivos Fortinet no ano de pico anterior, 2021. Muitas também são críticas: no início deste mês, a Fortinet revelou que um buffer crítico subscreve vulnerabilidade no FortiOS e FortiProxy (CVE-2023-25610) pode permitir que um invasor remoto não autenticado execute qualquer código em uma variedade de dispositivos.
Os juros também são altos. Em novembro, por exemplo, uma empresa de segurança alertou que um grupo cibercriminoso estava vendendo acesso para comprometer dispositivos FortiOS em um fórum russo da Dark Web. Mas se as vulnerabilidades chamaram a atenção, ou vice-versa, é discutível, diz David Maynor, diretor sênior de inteligência de ameaças da Cybrary, uma empresa de treinamento em segurança.
“Os atacantes sentem cheiro de sangue na água”, diz ele. “O número e a frequência de vulnerabilidades exploráveis remotamente nos últimos dois anos aumentaram a uma velocidade vertiginosa. Se houver um grupo de estado-nação que não esteja integrando as façanhas da Fortinet, eles estão desleixados no trabalho.”
Como outros dispositivos de segurança de rede, os dispositivos Fortinet ocupam o ponto crítico entre a Internet e as redes ou aplicativos internos, tornando-os um alvo valioso para os invasores que procuram uma posição nas redes corporativas, disse a equipe de pesquisa da empresa de inteligência de ameaças GreyNoise Research em um entrevista por e-mail com Dark Reading.
“A grande maioria dos dispositivos Fortinet são dispositivos de borda e, como resultado, geralmente voltados para a Internet”, disse a equipe. “Isso é verdade para todos os dispositivos de ponta. Se um invasor passar pelo esforço de uma campanha de exploração, o volume de dispositivos de ponta é um alvo valioso.”
Os pesquisadores também alertaram que o Fortinet provavelmente não está sozinho na mira dos invasores.
“Todos os dispositivos de ponta de qualquer fornecedor terão vulnerabilidades mais cedo ou mais tarde”, disse a GreyNoise Research.
Ataque Fortinet detalhado
A Fortinet descreveu o ataque aos dispositivos de seus clientes com alguns detalhes em seu comunicado. Os invasores usaram a vulnerabilidade para modificar o firmware do dispositivo e adicionar um novo arquivo de firmware. Os invasores obtiveram acesso aos dispositivos FortiGate por meio do software FortiManager e modificaram o script de inicialização dos dispositivos para manter a persistência.
O firmware malicioso pode ter permitido a exfiltração de dados, a leitura e gravação de arquivos ou fornecido ao invasor um shell remoto, dependendo do comando que o software recebeu do servidor de comando e controle (C2), afirmou a Fortinet. Mais de meia dúzia de outros arquivos também foram modificados.
A análise do incidente, no entanto, carecia de várias informações críticas, como como os invasores obtiveram acesso privilegiado ao software FortiManager e a data do ataque, entre outros detalhes.
Contactada, a empresa emitiu um comunicado em resposta a um pedido de entrevista: “Publicamos um comunicado PSIRT (FG-IR-22-369) em 7 de março que detalha as próximas etapas recomendadas em relação ao CVE-2022-41328 ”, disse a empresa. “Como parte de nosso compromisso contínuo com a segurança de nossos clientes, a Fortinet compartilhou detalhes e análises adicionais em a postagem no blog de 9 de março e continuar a aconselhar os clientes a seguirem as orientações fornecidas.”
No geral, ao encontrar e divulgar a vulnerabilidade e publicar uma análise de sua resposta ao incidente, a Fortinet está fazendo as coisas certas, disse a equipe da GreyNoise Research ao Dark Reading.
“Eles publicaram uma análise detalhada dois dias depois, incluindo um resumo executivo, bem como um grande [número] de detalhes precisos sobre a natureza da vulnerabilidade e a atividade do invasor, fornecendo aos defensores [com] inteligência acionável”, afirmou a equipe. . “A Fortinet optou por se comunicar de forma clara, oportuna e precisa sobre essa vulnerabilidade.”
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
- Fonte: https://www.darkreading.com/vulnerabilities-threats/cyberattackers-continue-assault-against-fortinet-devices
- :é
- 2021
- 7
- 9
- a
- Sobre
- Acesso
- preciso
- exatamente
- atividade
- Adicional
- avançado
- consultivo
- Depois de
- contra
- agências
- Todos os Produtos
- permite
- sozinho
- entre
- análise
- e
- apareceu
- aparelhos
- aplicações
- SOMOS
- AS
- atribuído
- At
- ataque
- por WhatsApp.
- BE
- entre
- Blog
- sangue
- amortecer
- Bug
- by
- chamado
- Campanha
- escolheu
- claramente
- código
- compromisso
- geralmente
- comunicar
- Empresa
- compromisso
- continuar
- Responsabilidade
- poderia
- crítico
- cliente
- Clientes
- Ataque cibernético
- CIBERCRIMINAL
- Escuro
- Leitura escura
- dark web
- dados,
- banco de dados
- Data
- David
- dias
- Defensores
- Dependendo
- descrito
- detalhe
- detalhado
- detalhes
- dispositivo
- Dispositivos/Instrumentos
- Diretor
- Divulgando
- descoberta
- fazer
- duplo
- dúzia
- Mais cedo
- Cedo
- borda
- esforço
- erro
- exemplo
- executivo
- exfiltração
- exploração
- façanhas
- enfrentando
- fracassado
- Envie o
- Arquivos
- descoberta
- Empresa
- falhas
- seguir
- Escolha
- Fortinet
- Fórum
- Frequência
- da
- dado
- Dando
- Go
- vai
- Governo
- Grupo
- orientações
- Metade
- Ter
- Alta
- altamente
- Como funciona o dobrador de carta de canal
- Contudo
- HTTPS
- in
- incidente
- resposta a incidentes
- Incluindo
- aumentou
- INFORMAÇÕES
- Integração
- integridade
- Inteligência
- interno
- Internet
- Entrevista
- Emitido
- ESTÁ
- Trabalho
- jpg
- grande
- Sobrenome
- mais recente
- levou
- Provável
- procurando
- a manter
- Maioria
- Fazendo
- Março
- maciço
- média
- Moda
- modificada
- modificar
- Mês
- mais
- múltiplo
- Nacional
- Natureza
- rede
- Rede de Segurança
- redes
- Novo
- Próximo
- nist
- Novembro
- número
- of
- on
- ONE
- contínuo
- organizações
- Outros
- parte
- Pico
- persistência
- peças
- platão
- Inteligência de Dados Platão
- PlatãoData
- Abundância
- ponto
- anterior
- privilegiado
- Produtos
- fornecido
- fornecendo
- publicado
- Publishing
- Taxa
- Leia
- Leitura
- recebido
- recentemente
- Recomenda
- em relação a
- remoto
- solicitar
- pesquisa
- pesquisadores
- resposta
- resultar
- Revelado
- Execute
- russo
- s
- Dito
- diz
- segurança
- AUTO
- Vender
- senior
- vários
- compartilhado
- concha
- Shows
- periodo
- So
- até aqui
- Software
- alguns
- velocidade
- Start-up
- estabelecido
- Declaração
- Passos
- parou
- tal
- RESUMO
- superfície
- Target
- alvejando
- Profissionais
- teste
- que
- A
- deles
- Eles
- coisas
- este ano
- ameaça
- Através da
- para
- também
- Training
- verdadeiro
- Valioso
- variedade
- fornecedores
- via
- volume
- vulnerabilidades
- vulnerabilidade
- Água
- web
- BEM
- se
- qual
- Largo
- precisarão
- de
- trabalhar
- escrever
- escrita
- ano
- anos
- zefirnet
