FBI och CISA varnar för att APT utnyttjar ouppladdade Fortinet-sårbarheter

Enligt ett gemensamt uttalande från FBI och Department of Homeland Security's Cybersecurity and Infrastructure Security Agency (CISA) utnyttjar internationella Advanced Persistent Threats eller APTs för närvarande ouppdaterade sårbarheter på Fortinet FortiOS-plattformar som tillhör leverantörer av tekniska tjänster, statliga myndigheter och den privata sektorn. enheter.

APT: erna har finslipat brister CVE-2018-13379, CVE-2020-12812 och CVE-2019-5591, som ursprungligen upptäcktes 2019. Den här senaste hackingskampanjen gör det möjligt för angripare att tränga in och vänta på offrets nätverk för framtida cyberattacker.

CVE-2018-13379 är associerad med Fortinet FortiOS 6.0.0 till 6.0.4, 5.6.3 till 5.6.7 och 5.4.6 till 5.4.12 plattformar och orsakades av felaktig begränsning av ett spårnamn till en begränsad katalog under SSL Virtual Private Network (VPN) webbportal.

En gång utnyttjad ger felet angripare möjlighet att ladda ner systemfiler via speciellt utformade HTTP-resursförfrågningar. En tidigare CISA-varning uppgav att en exploatering också kan avslöja lösenord genom det utsatta systemet.

Hur utnyttjas sårbarheter?

För att kunna utnyttja sårbarheten måste hackare inledningsvis få inloggningsuppgifterna för inloggade SSL VPN-användare.

I tidigare hacking kampanjer , cyberbrottslingar belånade dessa säkerhetsluckor i kedjade kampanjer. Hacker skulle initialt behöva utnyttja en Fortinet FortiOS-sårbarhet för att få tillträde till offrets nätverk, sedan skulle de para ihop attacken tillsammans med en kritisk sårbarhet på Netlog, CVE-2020-1472, för att höja privilegierna under ett enda intrång.

I dessa senaste attacker varnade de amerikanska säkerhetsbyråerna för att APT: er för närvarande söker efter enheter på portarna 4443, 8443 och 10443 för att hitta CVE-2018-13379, samt uppräknade enheter för CVE-2020-12812 och CVE-2019- 5591.

Sårbarheter utnyttjas vanligtvis av APT: er för att utföra DDoS-attacker, ransomware, spear- phishing , SQL-injektionsattacker, webbplatsavlägsnande och desinformationskampanjer, enligt det gemensamma uttalandet.

Under den här kampanjen ska dock APT: erna utnyttja Fortinet-bristerna för att få nätverksåtkomst för flera kritiska infrastruktursektorer, för det varningen kallas "förpositionering för efterföljande dataexfiltrering eller datakryptering."

"APT-aktörer kan använda andra CVE eller vanliga exploateringstekniker - såsom spjutfiske - för att få tillgång till kritiska infrastrukturnätverk för att förpositionera för uppföljningsattacker", enligt uttalandet.

Kritiska infrastrukturenheter rekommenderas nu att omedelbart tillämpa programvaruuppdateringen för Fortinet på sina enheter.

Organisationer som inte använder tekniken bör omedelbart lägga till FortiOS-viktiga artefaktfiler i listan för körningsnekande för att förhindra eventuella försök att installera och / eller köra programmet och dess filer.

Vad rekommenderar CISA och FBI till användare?

De amerikanska byråerna rekommenderar vidare att man kräver administratörsuppgifter för alla programinstallationer och utnyttjar multifaktorautentisering för alla relevanta slutpunkter. Nätverkssegmentering rekommenderas också för att isolera sårbar teknik från huvudnätverket samt regelbundet säkerhetskopiera data på en lösenordsskyddad offline-lagringsserver.

Fokus på ökad medarbetarmedvetenhet och ytterligare utbildning baserad på att identifiera och undvika phishing-e-post rekommenderas också, tillsammans med att inaktivera hyperlänkar i meddelanden och markera externa e-postmeddelanden.

FBI och CISA varnar för att APT utnyttjar ouppladdade Fortinet-sårbarheter skärmdumpar