Kibernetski napadalci nadaljujejo z napadi na naprave Fortinet

V začetku marca je stranka poklicala Fortinetovo ekipo za odzivanje na incidente, ko je več varnostnih naprav FortiGate prenehalo delovati in vstopilo v način napake, potem ko vdelana programska oprema ni opravila samotestiranja celovitosti.

Šlo je za kibernetski napad, ki je privedel do odkritja najnovejše ranljivosti v napravah Fortinet, hrošča srednje resnosti, a zelo izkoriščenega (CVE-2022-41328), ki privilegiranemu napadalcu omogoča branje in pisanje datotek. Zdi se, da skupina groženj, ki jo je Fortinet označil za "naprednega igralca", cilja na vladne agencije ali z vlado povezane organizacije, je družba navedla v nedavno analizo napada.

Incident tudi kaže, da napadalci namenjajo napravam Fortinet veliko pozornosti. In površina za napad je široka: do zdaj letos, 60 ranljivostim v izdelkih Fortinet so bile dodeljene CVE in objavljeno v Nacionalni zbirki podatkov o ranljivostih, kar je dvakrat več od stopnje, s katero so bile razkrite napake v napravah Fortinet v prejšnjem vrhunskem letu 2021. Veliko je tudi kritičnih: v začetku tega meseca je Fortinet razkril, da kritični medpomnilnik jamči za ranljivost v FortiOS in FortiProxy (CVE-2023-25610) lahko oddaljenemu nepreverjenemu napadalcu omogoči zagon katere koli kode na različnih napravah.

Tudi zanimanje je veliko. Novembra je na primer eno varnostno podjetje opozorilo, da skupina kibernetskih kriminalcev je prodajal dostop do ogroženih naprav FortiOS na ruskem temnem spletnem forumu. Toda ali so ranljivosti spodbudile pozornost ali obratno, ni sporno, pravi David Maynor, višji direktor obveščevalnih groženj pri Cybrary, varnostnem izobraževalnem podjetju.

"Napadalci zavohajo kri v vodi," pravi. »Število in pogostost ranljivosti, ki jih je mogoče izkoristiti na daljavo, sta se v zadnjih dveh letih povečala z vrtoglavo hitrostjo. Če obstaja skupina v nacionalni državi, ki ne integrira Fortinetovih izkoriščanj, se zleknejo na delo.«

Tako kot druge naprave za omrežno varnost tudi naprave Fortinet naseljujejo kritično točko med internetom in notranjimi omrežji ali aplikacijami, zaradi česar so dragocena tarča za napadalce, ki iščejo oporo v omrežjih podjetij, je povedala raziskovalna skupina podjetja GreyNoise Research za obveščanje o grožnjah. elektronski intervju z Dark Reading.

"Velika večina naprav Fortinet je robnih naprav in so posledično običajno obrnjene v internet," je dejala ekipa. »To velja za vse robne naprave. Če bo napadalec šel skozi napor kampanje izkoriščanja, je količina robnih naprav dragocena tarča.«

Raziskovalci so tudi opozorili, da Fortinet verjetno ni sam v križu napadalcev.

"Vse robne naprave katerega koli prodajalca bodo prej ali slej imele ranljivosti," je dejal GreyNoise Research.

Podrobnosti o napadu na Fortinet

Fortinet je v svojem svetovanju podrobno opisal napad na naprave svojih strank. Napadalci so uporabili ranljivost, da bi spremenili vdelano programsko opremo naprave in dodali novo datoteko vdelane programske opreme. Napadalci so pridobili dostop do naprav FortiGate prek programske opreme FortiManager in spremenili zagonski skript naprav, da bi ohranili obstojnost.

Zlonamerna vdelana programska oprema bi lahko dovolila odtujitev podatkov, branje in pisanje datotek ali dala napadalcu oddaljeno lupino, odvisno od ukaza, ki ga je programska oprema prejela od strežnika za ukaze in nadzor (C2), je izjavil Fortinet. Spremenjenih je bilo tudi več kot pol ducata drugih datotek.

V analizi incidenta pa je manjkalo več kritičnih informacij, na primer, kako so napadalci pridobili privilegiran dostop do programske opreme FortiManager in datum napada, med drugimi podrobnostmi. 

Ko je podjetje kontaktiralo, je kot odgovor na prošnjo za intervju izdalo izjavo: »Objavili smo svetovanje PSIRT (FG-IR-22-369) 7. marca, ki podrobno opisuje priporočene naslednje korake glede CVE-2022-41328,« je sporočilo podjetje. »Kot del naše nenehne zavezanosti k varnosti naših strank je Fortinet delil dodatne podrobnosti in analize v objava v spletnem dnevniku 9. marca in strankam še naprej svetovati, naj upoštevajo navedena navodila.«

Na splošno Fortinet z iskanjem in razkritjem ranljivosti ter objavo analize njihovega odziva na incident počne prave stvari, je za Dark Reading povedala ekipa GreyNoise Research.

"Dva dni kasneje so objavili podrobno analizo, vključno s povzetkom, kot tudi ogromno (število) natančnih podrobnosti o naravi ranljivosti in dejavnosti napadalca, kar je branilcem zagotovilo [z] uporabno inteligenco," je izjavila ekipa. . "Fortinet se je odločil jasno, pravočasno in natančno sporočiti to ranljivost."

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
• vir: https://www.darkreading.com/vulnerabilities-threats/cyberattackers-continue-assault-against-fortinet-devices