FBI og CISA advarer om, at APT'er udnytter ikke-patchede Fortinet-sårbarheder
Ifølge en fælles erklæring fra FBI og Department of Homeland Security's Cybersecurity and Infrastructure Security Agency (CISA) udnytter internationale avancerede vedvarende trusler eller APT'er i øjeblikket ikke-patchede sårbarheder i Fortinet FortiOS-platforme, der tilhører teknologitjenesteudbydere, statslige agenturer og den private sektor enheder.
APT'erne har finpudset mangler CVE-2018-13379, CVE-2020-12812 og CVE-2019-5591, som oprindeligt blev opdaget i 2019. Denne seneste hackingkampagne giver angribere mulighed for at trænge ind og lægge på lur på offerets netværk til fremtidige cyberangreb.
CVE-2018-13379 er forbundet med Fortinet FortiOS 6.0.0 til 6.0.4, 5.6.3 til 5.6.7 og 5.4.6 til 5.4.12 platforme og blev forårsaget af forkert begrænsning af et sti til et begrænset bibliotek under SSL-portal (Virtual Private Network).
Når udnyttet, giver fejlen angribere mulighed for at downloade systemfiler via specielt udformede HTTP-ressourceanmodninger. En tidligere CISA-alarm sagde, at en udnyttelse muligvis også kunne eksponere adgangskoder gennem det sårbare system.
Indholdsfortegnelse
Hvordan udnyttes sårbarheder?
For at udnytte sårbarheden skal hackere i første omgang indhente legitimationsoplysninger for indloggede SSL VPN-brugere.
I tidligere hacking kampagner , cyberkriminelle gearede disse sikkerhedsmæssige huller i lænket kampagner. Hacker skulle oprindeligt bruge en Fortinet FortiOS-sårbarhed for at få adgang til offerets netværk, så parrede de angrebet sammen med en kritisk Netlogon-sårbarhed, CVE-2020-1472, for at hæve privilegier under et enkelt brud.
I disse seneste angreb advarede de amerikanske sikkerhedsagenturer om, at APT'er i øjeblikket scanner efter enheder i havnene 4443, 8443 og 10443 for at finde CVE-2018-13379 samt opregnede enheder til CVE-2020-12812 og CVE-2019- 5591.
Sårbarheder udnyttes typisk af APT'er til at udføre DDoS-angreb, ransomware, spear- phishing , SQL-injektionsangreb, ødelæggelse af websteder og desinformationskampagner, ifølge den fælles erklæring.
Under denne kampagne skal APT'erne dog udnytte Fortinet-manglerne for at opnå netværksadgang til flere kritiske infrastruktursektorer, for at alarmen kaldes "præpositionering for efterfølgende dataeksfiltrering eller datakrypteringsangreb."
"APT-aktører kan bruge andre CVE'er eller almindelige udnyttelsesteknikker - såsom spydfishing - for at få adgang til kritiske infrastrukturnetværk for at præ-positionere til opfølgende angreb," ifølge erklæringen.
Enheder med kritisk infrastruktur rådes nu til straks at anvende Fortinet-softwareopdateringen på deres enheder.
Organisationer, der ikke anvender teknologien, skal straks tilføje FortiOS-nøgleartefakter til deres eksekveringsliste for at forhindre eventuelle forsøg på at installere og / eller køre programmet og dets filer.
Hvad anbefaler CISA og FBI til brugere?
De amerikanske agenturer anbefaler endvidere at kræve administratorlegitimationsoplysninger til softwareinstallationer og udnytte multifaktorautentificering til alle relevante slutpunkter. Netværkssegmentering anbefales også stærkt for at isolere sårbar teknologi fra hovednetværket samt regelmæssigt sikkerhedskopiere data i en adgangskodebeskyttet offline-lagringsserver.
Fokus på øget medarbejderbevidsthed og yderligere træning baseret på identifikation og undgåelse af phishing-e-mails anbefales også sammen med deaktivering af hyperlinks i meddelelser og markering af eksterne e-mails.
FBI og CISA advarer om, at APT’er udnytter ikke-patchede Fortinet-sårbarheder Skærmbilleder
