FBI en CISA waarschuwen dat APT's ongepatchte Fortinet-kwetsbaarheden misbruiken

FBI en CISA waarschuwen dat APT's ongepatchte Fortinet-kwetsbaarheden misbruiken Image

Volgens een gezamenlijke verklaring van de FBI en de Cybersecurity and Infrastructure Security Agency (CISA) van het Department of Homeland Security, maken internationale Advanced Persistent Threats of APT's momenteel gebruik van ongepatchte kwetsbaarheden in Fortinet FortiOS-platforms van technische dienstverleners, overheidsinstanties en de particuliere sector. entiteiten.

De APT's hebben de tekortkomingen CVE-2018-13379, CVE-2020-12812 en CVE-2019-5591 verbeterd, die voor het eerst werden ontdekt in 2019. Deze nieuwste hackcampagne stelt aanvallers in staat om het netwerk van het slachtoffer binnen te dringen en daar op de loer te liggen. voor toekomstige cyberaanvallen.

CVE-2018-13379 is geassocieerd met Fortinet FortiOS 6.0.0 tot 6.0.4, 5.6.3 tot 5.6.7 en 5.4.6 tot 5.4.12 platforms en werd veroorzaakt door een onjuiste beperking van een padnaam tot een beperkte directory onder de SSL Virtual Private Network (VPN) webportaal.

Eenmaal misbruikt, geeft de fout aanvallers de mogelijkheid om systeembestanden te downloaden via speciaal vervaardigde HTTP-bronverzoeken. Een eerdere CISA-waarschuwing stelde dat een exploit mogelijk ook wachtwoorden kan onthullen via het kwetsbare systeem.

Hoe worden kwetsbaarheden uitgebuit?

Om misbruik te maken van de kwetsbaarheid, moeten hackers in eerste instantie de inloggegevens van ingelogde SSL VPN-gebruikers verkrijgen.

In eerdere hackcampagnes maakten cybercriminelen gebruik van deze beveiligingslekken in aaneengeschakelde campagnes. De hacker zou in eerste instantie een Fortinet FortiOS-kwetsbaarheid moeten gebruiken om toegang te krijgen tot het netwerk van het slachtoffer, waarna ze de aanval zouden koppelen aan een kritieke Netlogon-kwetsbaarheid, CVE-2020-1472, om de rechten tijdens een enkele inbreuk te verhogen.

Bij deze laatste aanvallen waarschuwden de Amerikaanse veiligheidsinstanties dat APT's momenteel scannen naar apparaten op de poorten 4443, 8443 en 10443 om CVE-2018-13379 te vinden, evenals opgesomde apparaten voor CVE-2020-12812 en CVE-2019- 5591.

Kwetsbaarheden worden meestal leveraged door APT om DDoS-aanvallen, ransomware, spear uitvoeren phishing , SQL injectie aanvallen, defacen en desinformatiecampagnes, aldus de gezamenlijke verklaring.

Tijdens deze campagne moeten de APT's echter gebruikmaken van de Fortinet-tekortkomingen om netwerktoegang te verkrijgen voor meerdere kritieke infrastructuursectoren, daarvoor werd de waarschuwing "pre-positionering voor vervolggegevensonderschepping of gegevensversleutelingsaanvallen" genoemd.

"APT-actoren kunnen andere CVE's of veelgebruikte exploitatietechnieken gebruiken - zoals spear-phishing - om toegang te krijgen tot kritieke infrastructuurnetwerken om te kunnen anticiperen op vervolgaanvallen", aldus de verklaring.

Kritieke infrastructuurentiteiten wordt nu geadviseerd om de Fortinet-software-update onmiddellijk op hun apparaten toe te passen.

Organisaties die geen gebruik maken van de technologie, moeten onmiddellijk FortiOS-bestanden met belangrijke artefacten toevoegen aan hun lijst met weigering van uitvoering om mogelijke pogingen om het programma en zijn bestanden te installeren en / of uit te voeren, te voorkomen.

Wat bevelen de CISA en de FBI gebruikers aan?

De Amerikaanse agentschappen bevelen verder aan om beheerdersreferenties te vereisen voor alle software-installaties en om gebruik te maken van multi-factor authenticatie voor alle relevante eindpunten. Netwerksegmentatie wordt ook sterk aanbevolen om kwetsbare technologie te isoleren van het hoofdnetwerk en om regelmatig een back-up te maken van gegevens op een met een wachtwoord beveiligde offline opslagserver.

Een focus op een groter bewustzijn van de medewerkers en aanvullende training op het gebied van het identificeren en vermijden van phishing-e-mails wordt ook aanbevolen, evenals het uitschakelen van hyperlinks in berichten en het markeren van externe e-mails.

Laat een antwoord achter

Gebruik dit opmerkingensysteem NIET voor vragen over ondersteuning of facturering. Neem voor technische ondersteuningsverzoeken van SpyHunter rechtstreeks contact op met ons technische ondersteuningsteam door een ticket voor klantenondersteuning te openen via uw SpyHunter. Voor factureringsproblemen verwijzen wij u naar onze "Factureringsvragen of problemen?" Pagina. Voor algemene vragen (klachten, juridische zaken, pers, marketing, copyright) gaat u naar onze pagina "Vragen en feedback".


HTML is niet toegestaan.