FBI i CISA ostrzegają, że APT wykorzystują niezałatane luki w zabezpieczeniach Fortinet
Według wspólnego oświadczenia FBI i Agencji ds. Cyberbezpieczeństwa i Infrastruktury (CISA) Departamentu Bezpieczeństwa Wewnętrznego (CISA) międzynarodowe zaawansowane trwałe zagrożenia lub APT wykorzystują obecnie niezałatane luki w platformach Fortinet FortiOS należących do dostawców usług technologicznych, agencji rządowych i sektora prywatnego podmioty.
APT dopracowały się błędów CVE-2018-13379, CVE-2020-12812 i CVE-2019-5591, które zostały pierwotnie odkryte w 2019 roku. Ta najnowsza kampania hakerska umożliwia atakującym penetrację sieci ofiary i czekanie w niej pod kątem przyszłych cyberataków.
CVE-2018-13379 jest powiązany z platformami Fortinet FortiOS od 6.0.0 do 6.0.4, od 5.6.3 do 5.6.7 i od 5.4.6 do 5.4.12 i był spowodowany nieprawidłowym ograniczeniem ścieżki dostępu do katalogu z ograniczeniami w ramach Portal sieciowy wirtualnej sieci prywatnej SSL (VPN).
Po wykorzystaniu luka umożliwia atakującym pobieranie plików systemowych za pośrednictwem specjalnie spreparowanych żądań zasobów HTTP. W jednym z poprzednich alertów CISA stwierdzono, że exploit może również ujawniać hasła za pośrednictwem podatnego na ataki systemu.
Spis treści
W jaki sposób wykorzystywane są luki w zabezpieczeniach?
Aby wykorzystać tę lukę, hakerzy muszą najpierw uzyskać poświadczenia zalogowanych użytkowników SSL VPN.
W poprzednich kampaniach hakerskich cyberprzestępcy wykorzystali te luki w zabezpieczeniach w połączonych kampaniach. Haker początkowo musiałby wykorzystać lukę Fortinet FortiOS, aby uzyskać dostęp do sieci ofiary, a następnie połączyć atak z krytyczną luką w zabezpieczeniach Netlogon, CVE-2020-1472, aby podnieść uprawnienia podczas pojedynczego naruszenia.
Podczas tych ostatnich ataków amerykańskie agencje bezpieczeństwa ostrzegły, że APT obecnie skanują w poszukiwaniu urządzeń na portach 4443, 8443 i 10443 w celu znalezienia CVE-2018-13379, a także wyliczonych urządzeń dla CVE-2020-12812 i CVE-2019- 5591.
Zgodnie ze wspólnym oświadczeniem, luki w zabezpieczeniach są zwykle wykorzystywane przez APT do przeprowadzania ataków DDoS, oprogramowania ransomware, spear- phishingu , ataków typu SQL injection, niszczenia witryn internetowych i dezinformacji.
Podczas tej kampanii APT mają jednak wykorzystywać wady Fortinet, aby uzyskać dostęp do sieci dla wielu krytycznych sektorów infrastruktury, w tym ostrzeżenie o nazwie „wstępne pozycjonowanie w celu dalszej eksfiltracji danych lub ataków na szyfrowanie danych".
„Podmioty APT mogą korzystać z innych CVE lub powszechnych technik wykorzystywania - takich jak spear-phishing - w celu uzyskania dostępu do sieci infrastruktury krytycznej w celu przygotowania się do kolejnych ataków", zgodnie z oświadczeniem.
Zaleca się, aby podmioty infrastruktury krytycznej natychmiast zastosowały aktualizację oprogramowania Fortinet na swoich urządzeniach.
Organizacje, które nie korzystają z tej technologii, powinny natychmiast dodać pliki artefaktów klucza FortiOS do swojej listy odmów wykonania, aby zapobiec wszelkim możliwym próbom zainstalowania i / lub uruchomienia programu i jego plików.
Co zaleca CISA i FBI użytkownikom?
Agencje amerykańskie ponadto zalecają wymaganie poświadczeń administratora przy każdej instalacji oprogramowania i korzystanie z uwierzytelniania wieloskładnikowego dla wszystkich odpowiednich punktów końcowych. Segmentacja sieci jest również zdecydowanie zalecana w celu odizolowania podatnej technologii od głównej sieci, a także regularnego tworzenia kopii zapasowych danych na chronionym hasłem serwerze pamięci masowej offline.
Zaleca się również skupienie się na zwiększeniu świadomości pracowników i dodatkowych szkoleń w zakresie identyfikowania i unikania wiadomości phishingowych, a także wyłączania hiperłączy w wiadomościach i oznaczania zewnętrznych wiadomości e-mail.
FBI i CISA ostrzegają, że APT wykorzystują niezałatane luki w zabezpieczeniach Fortinet zrzutów ekranu
