На початку березня клієнт викликав групу реагування на інциденти Fortinet, коли кілька пристроїв безпеки FortiGate перестали працювати, увійшовши в режим помилки після того, як мікропрограма не пройшла самоперевірку цілісності.
Це була кібератака, яка призвела до виявлення останньої вразливості в пристроях Fortinet, помилки середнього ступеня тяжкості, але дуже придатної для використання (CVE-2022-41328), що дозволяє привілейованому зловмиснику читати та записувати файли. Група загроз, яку Fortinet назвала «просунутим актором», здається, була спрямована на державні установи або пов’язані з урядом організації, заявила компанія в нещодавній аналіз атаки.
Проте цей інцидент також показує, що зловмисники приділяють значну увагу пристроям Fortinet. І поверхня атаки широка: цього року, 60 уразливостям у продуктах Fortinet присвоєно CVE і опубліковано в Національній базі даних про вразливості, що вдвічі перевищує швидкість виявлення недоліків у пристроях Fortinet у попередній піковий рік, 2021. Багато також є критичними: на початку цього місяця Fortinet виявив, що критичний буфер гарантує вразливість у FortiOS і FortiProxy (CVE-2023-25610) може дозволити віддаленому неавтентифікованому зловмиснику запускати будь-який код на різноманітних пристроях.
Інтерес також великий. У листопаді, наприклад, одна охоронна фірма попередила, що група кіберзлочинців продавав доступ до компрометованих пристроїв FortiOS на російському форумі Dark Web. Але питання про те, чи вразливості привернули увагу, чи навпаки, залишається спірним, каже Девід Мейнор, старший директор відділу аналізу загроз у Cybrary, навчальній фірмі з безпеки.
«Зловмисники відчувають запах крові у воді», — каже він. «Кількість і частота дистанційно використаних уразливостей за останні два роки зросла з шаленою швидкістю. Якщо є національно-державна група, яка не інтегрує експлойти Fortinet, вони сутуляться на роботі».
Як і інші пристрої мережевої безпеки, пристрої Fortinet знаходяться в критичній точці між Інтернетом і внутрішніми мережами або програмами, що робить їх цінною мішенню для компрометації для зловмисників, які шукають точку опори в корпоративних мережах, повідомляє дослідницька група компанії GreyNoise Research, яка займається аналізом загроз. електронною поштою інтерв'ю з Dark Reading.
«Переважна більшість пристроїв Fortinet є периферійними пристроями, і, як наслідок, зазвичай мають доступ до Інтернету», – сказала команда. «Це стосується всіх крайніх пристроїв. Якщо зловмисник збирається пройти через зусилля кампанії експлуатації, кількість периферійних пристроїв стане цінною ціллю».
Дослідники також попередили, що Fortinet, швидше за все, не один у перехресті зловмисників.
«Усі периферійні пристрої від будь-яких постачальників рано чи пізно матимуть уразливості», — заявили в GreyNoise Research.
Деталі атаки Fortinet
Fortinet досить детально описав атаку на пристрої своїх клієнтів у своєму повідомленні. Зловмисники використовували вразливість, щоб змінити мікропрограму пристрою та додати новий файл мікропрограми. Зловмисники отримали доступ до пристроїв FortiGate через програмне забезпечення FortiManager і змінили сценарій запуску пристроїв, щоб підтримувати постійність.
Шкідливе мікропрограмне забезпечення могло дозволити викрадання даних, читання та запис файлів або надати зловмиснику віддалену оболонку, залежно від команди, яку програмне забезпечення отримало від командно-контрольного (C2) сервера, заявили у Fortinet. Більше півдюжини інших файлів також було змінено.
Проте в аналізі інциденту бракувало кількох важливих фрагментів інформації, наприклад, як зловмисники отримали привілейований доступ до програмного забезпечення FortiManager і дати атаки, серед інших деталей.
У відповідь на запит на інтерв’ю компанія оприлюднила заяву: «Ми опублікували консультація PSIRT (FG-IR-22-369) 7 березня, де детально описано рекомендовані наступні кроки щодо CVE-2022-41328», — повідомили в компанії. «У рамках нашої постійної відданості безпеці наших клієнтів Fortinet поділився додатковою інформацією та аналізом у допис у блозі від 9 березня і продовжувати радити клієнтам дотримуватися наданих вказівок».
Загалом, виявивши та розкривши вразливість, а також опублікувавши аналіз своєї реакції на інцидент, Fortinet робить правильні речі, повідомила Dark Reading команда GreyNoise Research.
«Двома днями пізніше вони опублікували детальний аналіз, включаючи резюме, а також величезну [кількість] точних деталей про природу вразливості та діяльність зловмисника, надаючи захисникам [] дієві дані”, — заявила команда. . «Fortinet вирішив чітко, вчасно та точно повідомити про цю вразливість».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://www.darkreading.com/vulnerabilities-threats/cyberattackers-continue-assault-against-fortinet-devices
- :є
- 2021
- 7
- 9
- a
- МЕНЮ
- доступ
- точний
- точно
- діяльність
- Додатковий
- просунутий
- консультативний
- після
- проти
- агентства
- ВСІ
- дозволяє
- тільки
- серед
- аналіз
- та
- з'явився
- техніка
- застосування
- ЕСТЬ
- AS
- призначений
- At
- атака
- увагу
- BE
- між
- Блог
- кров
- буфера
- Помилка
- by
- званий
- Кампанія
- вибрав
- очевидно
- код
- зобов'язання
- зазвичай
- спілкуватися
- компанія
- компроміс
- продовжувати
- Корпоративний
- може
- критичний
- клієнт
- Клієнти
- Кібератака
- КІБЕРЗЛОЧИНЦІВ
- темно
- Темне читання
- Dark Web
- дані
- Database
- Дата
- Девід
- Днів
- Захисники
- Залежно
- описаний
- деталь
- докладно
- деталі
- пристрій
- прилади
- Директор
- Розкриття
- відкриття
- справи
- подвійний
- дюжина
- Раніше
- Рано
- край
- зусилля
- помилка
- приклад
- виконавчий
- ексфільтрація
- експлуатація
- подвигів
- облицювання
- не вдалося
- філе
- Файли
- виявлення
- Фірма
- недоліки
- стежити
- для
- Fortinet
- форум
- частота
- від
- даний
- дає
- Go
- буде
- Уряд
- Group
- керівництво
- Половина
- Мати
- Високий
- дуже
- Як
- Однак
- HTTPS
- in
- інцидент
- реагування на інциденти
- У тому числі
- збільшений
- інформація
- Інтеграція
- цілісність
- Інтелект
- внутрішній
- інтернет
- інтерв'ю
- Випущений
- ЙОГО
- робота
- JPG
- великий
- останній
- останній
- Led
- Ймовірно
- шукати
- підтримувати
- Більшість
- Робить
- березня
- масивний
- середа
- режим
- модифікований
- змінювати
- місяць
- більше
- множинний
- National
- природа
- мережу
- мережева безпека
- мереж
- Нові
- наступний
- nist
- Листопад
- номер
- of
- on
- ONE
- постійний
- організації
- Інше
- частина
- Peak
- наполегливість
- частин
- plato
- Інформація про дані Платона
- PlatoData
- Plenty
- точка
- попередній
- привілейовані
- Продукти
- за умови
- забезпечення
- опублікований
- Видавничий
- ставка
- Читати
- читання
- отримано
- останній
- рекомендований
- про
- віддалений
- запросити
- дослідження
- Дослідники
- відповідь
- результат
- Показали
- прогін
- російський
- s
- Зазначений
- говорить
- безпеку
- SELF
- Продаж
- старший
- кілька
- загальні
- Склад
- Шоу
- значний
- So
- так далеко
- Софтвер
- деякі
- швидкість
- Пуск в експлуатацію
- заявив,
- Заява
- заходи
- зупинений
- такі
- РЕЗЮМЕ
- поверхню
- Мета
- націлювання
- команда
- тест
- Що
- Команда
- їх
- Їх
- речі
- У цьому році
- загроза
- через
- до
- занадто
- Навчання
- правда
- Цінний
- різноманітність
- постачальники
- через
- обсяг
- Уразливості
- вразливість
- вода
- Web
- ДОБРЕ
- Чи
- який
- широкий
- волі
- з
- робочий
- запис
- лист
- рік
- років
- зефірнет