FBI i CISA ostrzegają, że APT wykorzystują niezałatane luki w zabezpieczeniach Fortinet

FBI i CISA ostrzegają, że APT wykorzystują niezałatane luki w zabezpieczeniach Fortinet Image

Według wspólnego oświadczenia FBI i Agencji ds. Cyberbezpieczeństwa i Infrastruktury (CISA) Departamentu Bezpieczeństwa Wewnętrznego (CISA) międzynarodowe zaawansowane trwałe zagrożenia lub APT wykorzystują obecnie niezałatane luki w platformach Fortinet FortiOS należących do dostawców usług technologicznych, agencji rządowych i sektora prywatnego podmioty.

APT dopracowały się błędów CVE-2018-13379, CVE-2020-12812 i CVE-2019-5591, które zostały pierwotnie odkryte w 2019 roku. Ta najnowsza kampania hakerska umożliwia atakującym penetrację sieci ofiary i czekanie w niej pod kątem przyszłych cyberataków.

CVE-2018-13379 jest powiązany z platformami Fortinet FortiOS od 6.0.0 do 6.0.4, od 5.6.3 do 5.6.7 i od 5.4.6 do 5.4.12 i był spowodowany nieprawidłowym ograniczeniem ścieżki dostępu do katalogu z ograniczeniami w ramach Portal sieciowy wirtualnej sieci prywatnej SSL (VPN).

Po wykorzystaniu luka umożliwia atakującym pobieranie plików systemowych za pośrednictwem specjalnie spreparowanych żądań zasobów HTTP. W jednym z poprzednich alertów CISA stwierdzono, że exploit może również ujawniać hasła za pośrednictwem podatnego na ataki systemu.

W jaki sposób wykorzystywane są luki w zabezpieczeniach?

Aby wykorzystać tę lukę, hakerzy muszą najpierw uzyskać poświadczenia zalogowanych użytkowników SSL VPN.

W poprzednich kampaniach hakerskich cyberprzestępcy wykorzystali te luki w zabezpieczeniach w połączonych kampaniach. Haker początkowo musiałby wykorzystać lukę Fortinet FortiOS, aby uzyskać dostęp do sieci ofiary, a następnie połączyć atak z krytyczną luką w zabezpieczeniach Netlogon, CVE-2020-1472, aby podnieść uprawnienia podczas pojedynczego naruszenia.

Podczas tych ostatnich ataków amerykańskie agencje bezpieczeństwa ostrzegły, że APT obecnie skanują w poszukiwaniu urządzeń na portach 4443, 8443 i 10443 w celu znalezienia CVE-2018-13379, a także wyliczonych urządzeń dla CVE-2020-12812 i CVE-2019- 5591.

Zgodnie ze wspólnym oświadczeniem, luki w zabezpieczeniach są zwykle wykorzystywane przez APT do przeprowadzania ataków DDoS, oprogramowania ransomware, spear- phishingu , ataków typu SQL injection, niszczenia witryn internetowych i dezinformacji.

Podczas tej kampanii APT mają jednak wykorzystywać wady Fortinet, aby uzyskać dostęp do sieci dla wielu krytycznych sektorów infrastruktury, w tym ostrzeżenie o nazwie „wstępne pozycjonowanie w celu dalszej eksfiltracji danych lub ataków na szyfrowanie danych”.

„Podmioty APT mogą korzystać z innych CVE lub powszechnych technik wykorzystywania - takich jak spear-phishing - w celu uzyskania dostępu do sieci infrastruktury krytycznej w celu przygotowania się do kolejnych ataków”, zgodnie z oświadczeniem.

Zaleca się, aby podmioty infrastruktury krytycznej natychmiast zastosowały aktualizację oprogramowania Fortinet na swoich urządzeniach.

Organizacje, które nie korzystają z tej technologii, powinny natychmiast dodać pliki artefaktów klucza FortiOS do swojej listy odmów wykonania, aby zapobiec wszelkim możliwym próbom zainstalowania i / lub uruchomienia programu i jego plików.

Co zaleca CISA i FBI użytkownikom?

Agencje amerykańskie ponadto zalecają wymaganie poświadczeń administratora przy każdej instalacji oprogramowania i korzystanie z uwierzytelniania wieloskładnikowego dla wszystkich odpowiednich punktów końcowych. Segmentacja sieci jest również zdecydowanie zalecana w celu odizolowania podatnej technologii od głównej sieci, a także regularnego tworzenia kopii zapasowych danych na chronionym hasłem serwerze pamięci masowej offline.

Zaleca się również skupienie się na zwiększeniu świadomości pracowników i dodatkowych szkoleń w zakresie identyfikowania i unikania wiadomości phishingowych, a także wyłączania hiperłączy w wiadomościach i oznaczania zewnętrznych wiadomości e-mail.

Zostaw odpowiedź

NIE używaj tego systemu komentarzy do pytań wsparcia lub rozliczeniowych. W sprawie wniosków o pomoc techniczną SpyHunter, skontaktuj się bezpośrednio z naszym zespołem pomocy technicznej, otwierając bilet pomocy technicznej za pośrednictwem SpyHunter. W przypadku problemów z rozliczeniami zapoznaj się z naszą stroną „Pytania lub problemy z rozliczeniami?”. Ogólne zapytania (skargi, sprawy prawne, prasa, marketing, prawa autorskie) znajdują się na naszej stronie „Zapytania i opinie”.


HTML is not allowed.