La începutul lunii martie, un client a sunat la echipa Fortinet de răspuns la incident atunci când mai multe dispozitive de securitate FortiGate au încetat să funcționeze, intrând într-un mod de eroare după ce firmware-ul a eșuat la autotestul de integritate.
A fost un atac cibernetic, care a dus la descoperirea celei mai recente vulnerabilități în dispozitivele Fortinet, o eroare de severitate medie, dar foarte exploatabilă (CVE-2022-41328) care permite unui atacator privilegiat să citească și să scrie fișiere. Grupul de amenințare, pe care Fortinet l-a etichetat drept „actor avansat”, părea să vizeze agenții guvernamentale sau organizații conexe guvernamentale, a declarat compania în o analiză recentă a atacului.
Cu toate acestea, incidentul arată, de asemenea, că atacatorii acordă o atenție semnificativă dispozitivelor Fortinet. Și suprafața de atac este largă: până în acest an, 60 de vulnerabilități în produsele Fortinet au primit CVE-uri și publicat în National Vulnerability Database, dublul ratei cu care au fost dezvăluite defecte în dispozitivele Fortinet în anul de vârf anterior, 2021. De asemenea, multe sunt critice: la începutul acestei luni, Fortinet a dezvăluit că un tampon critic subscrierea vulnerabilității în FortiOS și FortiProxy (CVE-2023-25610) ar putea permite unui atacator de la distanță neautentificat să ruleze orice cod pe o varietate de dispozitive.
Interesul este mare, de asemenea. În noiembrie, de exemplu, o firmă de securitate a avertizat că un grup de infractori cibernetici vindea acces la dispozitive FortiOS compromise pe un forum rusesc Dark Web. Dar dacă vulnerabilitățile au stimulat atenția sau invers, este discutabil, spune David Maynor, director senior de informații despre amenințări la Cybrary, o firmă de instruire în securitate.
„Atacatorii miros sânge în apă”, spune el. „Numărul și frecvența vulnerabilităților exploatabile de la distanță în ultimii doi ani a crescut cu o viteză vertiginoasă. Dacă există un grup de stat-națiune care nu integrează exploatările Fortinet, ei se strâng la treabă.”
La fel ca alte dispozitive de securitate a rețelei, dispozitivele Fortinet se află în punctul critic dintre Internet și rețelele sau aplicațiile interne, făcându-le o țintă valoroasă de compromis pentru atacatorii care caută un punct de sprijin în rețelele corporative, a spus echipa de cercetare de la firma GreyNoise Research. interviu prin e-mail cu Dark Reading.
„O mare majoritate a dispozitivelor Fortinet sunt dispozitive de vârf și, prin urmare, se confruntă în mod obișnuit cu internetul”, a spus echipa. „Acest lucru este valabil pentru toate dispozitivele edge. Dacă un atacator urmează să treacă prin efortul unei campanii de exploatare, volumul dispozitivelor de vârf este o țintă valoroasă.”
Cercetătorii au avertizat, de asemenea, că Fortinet nu este probabil singur în punctul de mirare al atacatorilor.
„Toate dispozitivele de vârf de la orice furnizor vor avea vulnerabilități mai devreme sau mai târziu”, a spus GreyNoise Research.
Atacul Fortinet detaliat
Fortinet a descris atacul asupra dispozitivelor clienților săi în detaliu în avizul său. Atacatorii au folosit vulnerabilitatea pentru a modifica firmware-ul dispozitivului și pentru a adăuga un nou fișier de firmware. Atacatorii au obținut acces la dispozitivele FortiGate prin intermediul software-ului FortiManager și au modificat scriptul de pornire al dispozitivelor pentru a menține persistența.
Firmware-ul rău intenționat ar fi putut permite exfiltrarea datelor, citirea și scrierea fișierelor sau să ofere atacatorului un shell de la distanță, în funcție de comanda pe care software-ul a primit-o de la serverul de comandă și control (C2), a declarat Fortinet. Mai mult de o jumătate de duzină de alte fișiere au fost modificate, de asemenea.
Analizei incidentului, însă, au lipsit mai multe informații critice, cum ar fi modul în care atacatorii au obținut acces privilegiat la software-ul FortiManager și data atacului, printre alte detalii.
Când a fost contactată, compania a emis o declarație ca răspuns la o solicitare de interviu: „Am publicat un aviz PSIRT (FG-IR-22-369) pe 7 martie, aceste detalii recomandau pașii următori cu privire la CVE-2022-41328”, a spus compania. „Ca parte a angajamentului nostru continuu față de securitatea clienților noștri, Fortinet a împărtășit detalii și analize suplimentare în postarea de pe blog din 9 martie și continuă să sfătuiască clienții să urmeze îndrumările oferite.”
În general, prin găsirea și dezvăluirea vulnerabilității și publicând o analiză a răspunsului lor la incident, Fortinet face lucrurile potrivite, a declarat echipa de cercetare GreyNoise pentru Dark Reading.
„Au publicat o analiză detaliată două zile mai târziu, inclusiv un rezumat executiv, precum și un [număr] masiv de detalii precise despre natura vulnerabilității și activitatea atacatorului, oferind apărătorilor [cu] informații utile”, a declarat echipa. . „Fortinet a ales să comunice clar, în timp util și precis despre această vulnerabilitate.”
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://www.darkreading.com/vulnerabilities-threats/cyberattackers-continue-assault-against-fortinet-devices
- :este
- 2021
- 7
- 9
- a
- Despre Noi
- acces
- precis
- precis
- activitate
- Suplimentar
- avansat
- consultativ
- După
- împotriva
- Agențiile
- TOATE
- permite
- singur
- printre
- analiză
- și
- a apărut
- Electrocasnice
- aplicatii
- SUNT
- AS
- alocate
- At
- ataca
- atenţie
- BE
- între
- Blog
- sânge
- tampon
- Bug
- by
- denumit
- Campanie
- a ales
- clar
- cod
- angajament
- în mod obișnuit
- comunica
- companie
- compromis
- continua
- Istoria
- ar putea
- critic
- client
- clienţii care
- Atac cibernetic
- CYBERCRIMINAL
- Întuneric
- Lectură întunecată
- Web întunecat
- de date
- Baza de date
- Data
- David
- Zi
- apărătorii
- În funcție
- descris
- detaliu
- detaliat
- detalii
- dispozitiv
- Dispozitive
- Director
- Dezvăluirea
- descoperire
- face
- dubla
- duzină
- Mai devreme
- Devreme
- Margine
- efort
- eroare
- exemplu
- executiv
- exfiltrațiile
- exploatare
- exploit
- cu care se confruntă
- A eșuat
- Fișier
- Fişiere
- descoperire
- Firmă
- defecte
- urma
- Pentru
- Fortinet
- forum
- Frecvență
- din
- dat
- Oferirea
- Go
- merge
- Guvern
- grup
- îndrumare
- Jumătate
- Avea
- Înalt
- extrem de
- Cum
- Totuși
- HTTPS
- in
- incident
- răspuns la incident
- Inclusiv
- a crescut
- informații
- integrarea
- integritate
- Inteligență
- intern
- Internet
- Interviu
- Emis
- ESTE
- Loc de munca
- jpg
- mare
- Nume
- Ultimele
- Led
- Probabil
- cautati
- menține
- Majoritate
- Efectuarea
- Martie
- masiv
- mediu
- mod
- modificată
- modifica
- Lună
- mai mult
- multiplu
- național
- Natură
- reţea
- Securitatea rețelei
- rețele
- Nou
- următor
- nist
- noiembrie
- număr
- of
- on
- ONE
- în curs de desfășurare
- organizații
- Altele
- parte
- Vârf
- persistență
- piese
- Plato
- Informații despre date Platon
- PlatoData
- mulțime
- Punct
- precedent
- privilegiat
- Produse
- prevăzut
- furnizarea
- publicat
- Editare
- rată
- Citeste
- Citind
- primit
- recent
- recomandat
- cu privire la
- la distanta
- solicita
- cercetare
- cercetători
- răspuns
- rezultat
- Dezvăluit
- Alerga
- Rusă
- s
- Said
- spune
- securitate
- SELF
- De vânzare
- senior
- câteva
- comun
- Coajă
- Emisiuni
- semnificativ
- So
- până acum
- Software
- unele
- viteză
- Discovery
- stabilit
- Declarație
- paşi
- oprit
- astfel de
- REZUMAT
- Suprafață
- Ţintă
- direcționare
- echipă
- test
- acea
- lor
- Lor
- lucruri
- în acest an
- amenințare
- Prin
- la
- de asemenea
- Pregătire
- adevărat
- Valoros
- varietate
- furnizori
- de
- volum
- Vulnerabilitățile
- vulnerabilitate
- Apă
- web
- BINE
- dacă
- care
- larg
- voi
- cu
- de lucru
- scrie
- scris
- an
- ani
- zephyrnet
