FBI e CISA avvertono che gli APT stanno sfruttando le vulnerabilità Fortinet senza patch

Secondo una dichiarazione congiunta dell'FBI e della Cybersecurity and Infrastructure Security Agency (CISA) del Department of Homeland Security, le minacce internazionali avanzate persistenti o APT stanno attualmente sfruttando vulnerabilità senza patch nelle piattaforme Fortinet FortiOS appartenenti a fornitori di servizi tecnologici, agenzie governative e settore privato entità.

Gli APT si sono concentrati sui difetti CVE-2018-13379, CVE-2020-12812 e CVE-2019-5591, che sono stati inizialmente scoperti nel 2019. Quest'ultima campagna di hacking consente agli aggressori di penetrare e rimanere in agguato nella rete della vittima per futuri attacchi informatici.

CVE-2018-13379 è associato alle piattaforme Fortinet FortiOS da 6.0.0 a 6.0.4, da 5.6.3 a 5.6.7 e da 5.4.6 a 5.4.12 ed è stato causato da una limitazione impropria di un percorso a una directory limitata sotto il Portale web SSL Virtual Private Network (VPN).

Una volta sfruttata, la falla offre agli aggressori la possibilità di scaricare file di sistema tramite richieste di risorse HTTP appositamente predisposte. Un precedente avviso CISA ha affermato che un exploit potrebbe anche essere in grado di esporre le password attraverso il sistema vulnerabile.

Come vengono sfruttate le vulnerabilità?

Per sfruttare la vulnerabilità, gli hacker devono inizialmente ottenere le credenziali degli utenti SSL VPN che hanno effettuato l'accesso.

Nelle precedenti campagne di hacking, i criminali informatici hanno sfruttato queste lacune di sicurezza in campagne concatenate. L'hacker dovrebbe inizialmente sfruttare una vulnerabilità Fortinet FortiOS per ottenere l'accesso alla rete della vittima, quindi associare l'attacco a una vulnerabilità critica di Netlogon, CVE-2020-1472, per elevare i privilegi durante una singola violazione.

In questi ultimi attacchi, le agenzie di sicurezza statunitensi hanno avvertito che gli APT stanno attualmente cercando dispositivi sulle porte 4443, 8443 e 10443 per trovare CVE-2018-13379, nonché dispositivi enumerati per CVE-2020-12812 e CVE-2019- 5591.

Le vulnerabilità sono tipicamente sfruttate da APT per eseguire attacchi DDoS, ransomware, Spear phishing , attacchi di SQL injection, sito web defacement, e campagne di disinformazione, secondo la dichiarazione congiunta.

Durante questa campagna, si pensa che gli APT stiano sfruttando le falle di Fortinet per ottenere l'accesso alla rete per più settori infrastrutturali critici, per questo l'allarme chiamato "pre-posizionamento per esfiltrazione di dati successivi o attacchi di crittografia dei dati".

"Gli attori di APT possono utilizzare altri CVE o tecniche di sfruttamento comuni, come lo spear-phishing, per ottenere l'accesso a reti di infrastrutture critiche per predisporlo per attacchi successivi", secondo la dichiarazione.

Si consiglia ora alle entità dell'infrastruttura critica di applicare immediatamente l'aggiornamento del software Fortinet ai propri dispositivi.

Le organizzazioni che non utilizzano la tecnologia dovrebbero aggiungere immediatamente i file di artefatti chiave FortiOS alla loro lista di negazione dell'esecuzione al fine di prevenire ogni possibile tentativo di installazione e / o esecuzione del programma e dei suoi file.

Cosa consigliano CISA e FBI agli utenti?

Le agenzie statunitensi raccomandano inoltre di richiedere le credenziali di amministratore per qualsiasi installazione di software e di sfruttare l'autenticazione a più fattori per tutti gli endpoint rilevanti. La segmentazione della rete è inoltre fortemente consigliata per isolare la tecnologia vulnerabile dalla rete principale e per eseguire regolarmente il backup dei dati in un server di archiviazione offline protetto da password.

Si raccomanda inoltre di concentrarsi su una maggiore consapevolezza dei dipendenti e una formazione aggiuntiva basata sull'identificazione e sull'evitamento delle e-mail di phishing, oltre alla disabilitazione dei collegamenti ipertestuali nei messaggi e al contrassegno delle e-mail esterne.

FBI e CISA avvertono che gli APT stanno sfruttando le vulnerabilità Fortinet senza patch screenshot