FBI e CISA Alertam que APTs estão Explorando Vulnerabilidades Fortinet não Corrigidas
De acordo com uma declaração conjunta do FBI e do Departamento de Segurança Interna Cibersegurança e Agência de Segurança de Infraestrutura (CISA), Ameaças Persistentes Avançadas ou APTs estão explorando vulnerabilidades não corrigidas nas plataformas Fortinet FortiOS pertencentes a provedores de serviços de tecnologia, agências governamentais e entidades do setor privado.
Os APTs se concentraram nas falhas CVE-2018-13379, CVE-2020-12812 e CVE-2019-5591, que foram inicialmente descobertas em 2019. Esta última campanha de hacking permite que invasores penetrem e fiquem à espera na rede da vítima para futuros ataques cibernéticos.
A CVE-2018-13379 está associada às plataformas Fortinet FortiOS 6.0.0 a 6.0.4, 5.6.3 a 5.6.7 e 5.4.6 a 5.4.12 e foi causada por limitação inadequada de um nome de caminho a um diretório restrito sob o Portal da Web SSL Virtual Private Network (VPN).
Depois de explorada, a falha dá aos invasores a capacidade de baixar arquivos de sistema por meio de solicitações de recursos HTTP especialmente criadas. Um alerta anterior da CISA afirmou que uma exploração também pode ser capaz de expor senhas através do sistema vulnerável.
Como as Vulnerabilidades estão Sendo Exploradas?
Para explorar a vulnerabilidade, um invasor precisa primeiro obter credenciais de usuários SSL VPN conectados.
Em campanhas anteriores, os agentes de ameaças aproveitaram essas lacunas de segurança em ataques cibernéticos encadeados. Um hacker primeiro aproveitaria a vulnerabilidade do Fortinet FortiOS para obter acesso à rede da vítima e, em seguida, emparelharia o ataque com uma vulnerabilidade crítica do Netlogon, CVE-2020-1472, para aumentar os privilégios em uma única intrusão.
Nas explorações mais recentes, as agências federais avisaram que os hackers da APT estão procurando dispositivos nas portas 4443, 8443 e 10443 para encontrar CVE-2018-13379, bem como dispositivos enumerados para CVE-2020-12812 e CVE-2019-5591.
Vulnerabilidades críticas são normalmente usadas por agentes APT para ataques DDoS, ransomware, ataques de injeção de SQL, spear-phishing, desfiguração de sites e campanhas de desinformação, de acordo com o alerta.
Para esta campanha, os autores da ameaça provavelmente estão aproveitando as falhas da Fortinet para obter acesso à rede em vários setores de infraestrutura crítica, para "pré-posicionamento para posterior exfiltração de dados ou ataques de criptografia de dados".
"Os autores de APT podem usar outros CVEs ou técnicas de exploração comuns - como spear-phishing - para obter acesso a redes de infraestrutura crítica e se preparar para ataques subsequentes", alertaram as autoridades.
Dada a gravidade dessas falhas e métodos de ataque, os funcionários da agência estão novamente pedindo às entidades de infraestrutura crítica que apliquem imediatamente a atualização do software Fortinet aos dispositivos afetados.
Se uma organização não empregar a tecnologia, os administradores devem adicionar arquivos de artefatos importantes do FortiOS à lista de negação de execução da entidade para evitar qualquer tentativa de instalar ou executar o programa e arquivos associados.
O Que a CISA e o FBI Recomendam aos Usuários?
A CISA e o FBI também forneceram recomendações adicionais para mitigar os riscos associados a essas falhas, incluindo a exigência de credenciais de administrador para qualquer instalação de software e o aproveitamento da autenticação multifator em todos os terminais relevantes.
Também é recomendado que as entidades implementem a segmentação da rede para isolar tecnologia vulnerável da rede principal e fazer backups regulares dos dados em um servidor de armazenamento offline protegido por senha. Os administradores também devem garantir que as cópias dos dados críticos não possam ser modificadas ou acessadas para exclusão do sistema primário.
Além disso, as entidades devem se concentrar na conscientização e no treinamento dos funcionários em torno dos princípios e técnicas para identificar e evitar emails de phishing. Os hiperlinks devem ser desabilitados em emails e as entidades devem considerar a adição de um banner aos emails recebidos de fora da organização.