В начале марта клиент обратился в группу реагирования на инциденты Fortinet, когда несколько устройств безопасности FortiGate перестали работать, перейдя в режим ошибки после того, как прошивка не прошла самопроверку целостности.
Это была кибератака, которая привела к обнаружению последней уязвимости в устройствах Fortinet, ошибки средней степени серьезности, но очень удобной для использования (CVE-2022-41328), что позволяет привилегированному злоумышленнику читать и записывать файлы. Группа угроз, которую Fortinet назвала «продвинутым игроком», по-видимому, нацелена на правительственные учреждения или связанные с правительством организации, заявила компания в недавний анализ атаки.
Тем не менее, инцидент также показывает, что злоумышленники уделяют устройствам Fortinet значительное внимание. И поверхность атаки широкая: пока в этом году 60 уязвимостям в продуктах Fortinet присвоены CVE и опубликованы в Национальной базе данных уязвимостей, что вдвое превышает скорость, с которой обнаруживались уязвимости в устройствах Fortinet в предыдущий пиковый 2021 год. Многие из них также являются критическими: ранее в этом месяце Fortinet сообщила, что критический буфер обеспечивает уязвимость в FortiOS и FortiProxy (CVE-2023-25610) может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, запустить любой код на различных устройствах.
Интерес тоже высок. Например, в ноябре одна охранная фирма предупредила, что группа киберпреступников продавал доступ к скомпрометированным устройствам FortiOS на российском форуме даркнета. Но вопрос о том, привлекли ли уязвимости внимание или наоборот, остается спорным, говорит Дэвид Мейнор, старший директор по анализу угроз Cybrary, фирмы по обучению безопасности.
«Нападавшие чуют кровь в воде, — говорит он. «Количество и частота удаленно эксплуатируемых уязвимостей за последние два года увеличились с головокружительной скоростью. Если есть группа национального государства, которая не интегрирует эксплойты Fortinet, они не справляются со своей задачей».
Как и другие устройства сетевой безопасности, устройства Fortinet находятся в критической точке между Интернетом и внутренними сетями или приложениями, что делает их ценной мишенью для взлома для злоумышленников, ищущих плацдарм в корпоративных сетях, заявила исследовательская группа из компании GreyNoise Research, специализирующейся на анализе угроз. интервью по электронной почте с Dark Reading.
«Подавляющее большинство устройств Fortinet — это периферийные устройства, и в результате они обычно выходят в Интернет», — сказали в команде. «Это относится ко всем периферийным устройствам. Если злоумышленник собирается пройти через кампанию по эксплуатации, количество периферийных устройств становится ценной целью».
Исследователи также предупредили, что Fortinet вряд ли одинок в прицеле злоумышленников.
«Все периферийные устройства от любых поставщиков рано или поздно будут иметь уязвимости», — говорится в исследовании GreyNoise Research.
Детали атаки Fortinet
Fortinet подробно описала атаку на устройства своих клиентов в своем бюллетене. Злоумышленники воспользовались уязвимостью, чтобы изменить прошивку устройства и добавить новый файл прошивки. Злоумышленники получили доступ к устройствам FortiGate с помощью программного обеспечения FortiManager и модифицировали сценарий запуска устройств для сохранения устойчивости.
Вредоносная прошивка могла обеспечить кражу данных, чтение и запись файлов или предоставить злоумышленнику удаленную оболочку, в зависимости от команды, полученной программным обеспечением с сервера управления и контроля (C2), заявила Fortinet. Также было изменено более полудюжины других файлов.
Однако в анализе инцидента отсутствовало несколько критически важных сведений, таких как, среди прочего, то, как злоумышленники получили привилегированный доступ к программному обеспечению FortiManager, и дата атаки.
Когда с нами связались, компания опубликовала заявление в ответ на запрос об интервью: «Мы опубликовали рекомендация PSIRT (FG-IR-22-369) 7 марта в нем подробно рекомендовались следующие шаги в отношении CVE-2022-41328», — говорится в сообщении компании. «В рамках нашей постоянной приверженности безопасности наших клиентов Fortinet поделилась дополнительной информацией и анализом в запись в блоге от 9 марта и продолжайте советовать клиентам следовать предоставленным инструкциям».
В целом, обнаружив и раскрыв уязвимость и опубликовав анализ реакции на инцидент, Fortinet поступает правильно, сообщила Dark Reading команда GreyNoise Research.
«Два дня спустя они опубликовали подробный анализ, включая краткое изложение, а также огромное количество точных сведений о характере уязвимости и действиях злоумышленника, предоставив защитникам полезную информацию», — заявила команда. . «Fortinet решила четко, своевременно и точно сообщить об этой уязвимости».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://www.darkreading.com/vulnerabilities-threats/cyberattackers-continue-assault-against-fortinet-devices
- :является
- 2021
- 7
- 9
- a
- О нас
- доступ
- точный
- точно
- деятельность
- дополнительный
- продвинутый
- консультативный
- После
- против
- агентствах
- Все
- позволяет
- в одиночестве
- среди
- анализ
- и
- появившийся
- техника
- Приложения
- МЫ
- AS
- назначенный
- At
- атаковать
- внимание
- BE
- между
- Блог
- кровь
- буфер
- Ошибка
- by
- под названием
- Кампания
- выбрал
- явно
- код
- обязательство
- обычно
- общаться
- Компания
- скомпрометированы
- продолжать
- Корпоративное
- может
- критической
- клиент
- Клиенты
- Кибератака
- КИБЕРПРЕСТУПНИК
- темно
- Темное чтение
- Dark Web
- данным
- База данных
- Время
- Давид
- Дней
- Защитники
- в зависимости
- описано
- подробность
- подробный
- подробнее
- устройство
- Устройства
- директор
- Раскрытие
- открытие
- дело
- двойной
- дюжина
- Ранее
- Рано
- Edge
- усилие
- ошибка
- пример
- исполнительный
- эксфильтрации
- эксплуатация
- использует
- всего лишь пяти граммов героина
- Oшибка
- Файл
- Файлы
- обнаружение
- Фирма
- недостатки
- следовать
- Что касается
- Fortinet
- Форум
- частота
- от
- данный
- Отдаете
- Go
- будет
- Правительство
- группы
- руководство
- Половина
- Есть
- High
- очень
- Как
- Однако
- HTTPS
- in
- инцидент
- реакция на инцидент
- В том числе
- расширились
- информация
- Интегрируя
- целостность
- Интеллекта
- в нашей внутренней среде,
- Интернет
- Интервью
- Выпущен
- ЕГО
- работа
- JPG
- большой
- Фамилия
- последний
- привело
- Вероятно
- искать
- поддерживать
- Большинство
- Создание
- Март
- массивный
- средний
- режим
- модифицировало
- изменять
- Месяц
- БОЛЕЕ
- с разными
- национальный
- природа
- сеть
- Сетевая безопасность
- сетей
- Новые
- следующий
- NIST
- Ноябрь
- номер
- of
- on
- ONE
- постоянный
- организации
- Другое
- часть
- Вершина горы
- настойчивость
- штук
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Много
- Точка
- предыдущий
- привилегированный
- Продукция
- при условии
- обеспечение
- опубликованный
- Издательство
- Обменный курс
- Читать
- Reading
- получила
- последний
- Управление по борьбе с наркотиками (DEA)
- по
- удаленные
- запросить
- исследованиям
- исследователи
- ответ
- результат
- Показали
- Run
- русский
- s
- Сказал
- говорит
- безопасность
- SELF
- продажа
- старший
- несколько
- общие
- Оболочка
- Шоу
- значительный
- So
- уже
- Software
- некоторые
- скорость
- Start-up
- заявил
- заявление
- Шаги
- остановившийся
- такие
- РЕЗЮМЕ
- Поверхность
- цель
- направлены
- команда
- тестXNUMX
- который
- Ассоциация
- их
- Их
- вещи
- В этом году
- угроза
- Через
- в
- слишком
- Обучение
- правда
- ценный
- разнообразие
- поставщики
- с помощью
- объем
- Уязвимости
- уязвимость
- Вода
- Web
- ЧТО Ж
- будь то
- , которые
- широкий
- будете
- работает
- записывать
- письмо
- год
- лет
- зефирнет