Кібератаки продовжують атакувати пристрої Fortinet

На початку березня клієнт викликав групу реагування на інциденти Fortinet, коли кілька пристроїв безпеки FortiGate перестали працювати, увійшовши в режим помилки після того, як мікропрограма не пройшла самоперевірку цілісності.

Це була кібератака, яка призвела до виявлення останньої вразливості в пристроях Fortinet, помилки середнього ступеня тяжкості, але дуже придатної для використання (CVE-2022-41328), що дозволяє привілейованому зловмиснику читати та записувати файли. Група загроз, яку Fortinet назвала «просунутим актором», здається, була спрямована на державні установи або пов’язані з урядом організації, заявила компанія в нещодавній аналіз атаки.

Проте цей інцидент також показує, що зловмисники приділяють значну увагу пристроям Fortinet. І поверхня атаки широка: цього року, 60 уразливостям у продуктах Fortinet присвоєно CVE і опубліковано в Національній базі даних про вразливості, що вдвічі перевищує швидкість виявлення недоліків у пристроях Fortinet у попередній піковий рік, 2021. Багато також є критичними: на початку цього місяця Fortinet виявив, що критичний буфер гарантує вразливість у FortiOS і FortiProxy (CVE-2023-25610) може дозволити віддаленому неавтентифікованому зловмиснику запускати будь-який код на різноманітних пристроях.

Інтерес також великий. У листопаді, наприклад, одна охоронна фірма попередила, що група кіберзлочинців продавав доступ до компрометованих пристроїв FortiOS на російському форумі Dark Web. Але питання про те, чи вразливості привернули увагу, чи навпаки, залишається спірним, каже Девід Мейнор, старший директор відділу аналізу загроз у Cybrary, навчальній фірмі з безпеки.

«Зловмисники відчувають запах крові у воді», — каже він. «Кількість і частота дистанційно використаних уразливостей за останні два роки зросла з шаленою швидкістю. Якщо є національно-державна група, яка не інтегрує експлойти Fortinet, вони сутуляться на роботі».

Як і інші пристрої мережевої безпеки, пристрої Fortinet знаходяться в критичній точці між Інтернетом і внутрішніми мережами або програмами, що робить їх цінною мішенню для компрометації для зловмисників, які шукають точку опори в корпоративних мережах, повідомляє дослідницька група компанії GreyNoise Research, яка займається аналізом загроз. електронною поштою інтерв'ю з Dark Reading.

«Переважна більшість пристроїв Fortinet є периферійними пристроями, і, як наслідок, зазвичай мають доступ до Інтернету», – сказала команда. «Це стосується всіх крайніх пристроїв. Якщо зловмисник збирається пройти через зусилля кампанії експлуатації, кількість периферійних пристроїв стане цінною ціллю».

Дослідники також попередили, що Fortinet, швидше за все, не один у перехресті зловмисників.

«Усі периферійні пристрої від будь-яких постачальників рано чи пізно матимуть уразливості», — заявили в GreyNoise Research.

Деталі атаки Fortinet

Fortinet досить детально описав атаку на пристрої своїх клієнтів у своєму повідомленні. Зловмисники використовували вразливість, щоб змінити мікропрограму пристрою та додати новий файл мікропрограми. Зловмисники отримали доступ до пристроїв FortiGate через програмне забезпечення FortiManager і змінили сценарій запуску пристроїв, щоб підтримувати постійність.

Шкідливе мікропрограмне забезпечення могло дозволити викрадання даних, читання та запис файлів або надати зловмиснику віддалену оболонку, залежно від команди, яку програмне забезпечення отримало від командно-контрольного (C2) сервера, заявили у Fortinet. Більше півдюжини інших файлів також було змінено.

Проте в аналізі інциденту бракувало кількох важливих фрагментів інформації, наприклад, як зловмисники отримали привілейований доступ до програмного забезпечення FortiManager і дати атаки, серед інших деталей. 

У відповідь на запит на інтерв’ю компанія оприлюднила заяву: «Ми опублікували консультація PSIRT (FG-IR-22-369) 7 березня, де детально описано рекомендовані наступні кроки щодо CVE-2022-41328», — повідомили в компанії. «У рамках нашої постійної відданості безпеці наших клієнтів Fortinet поділився додатковою інформацією та аналізом у допис у блозі від 9 березня і продовжувати радити клієнтам дотримуватися наданих вказівок».

Загалом, виявивши та розкривши вразливість, а також опублікувавши аналіз своєї реакції на інцидент, Fortinet робить правильні речі, повідомила Dark Reading команда GreyNoise Research.

«Двома днями пізніше вони опублікували детальний аналіз, включаючи резюме, а також величезну [кількість] точних деталей про природу вразливості та діяльність зловмисника, надаючи захисникам [] дієві дані”, — заявила команда. . «Fortinet вирішив чітко, вчасно та точно повідомити про цю вразливість».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://www.darkreading.com/vulnerabilities-threats/cyberattackers-continue-assault-against-fortinet-devices