Fortinet avertizează că actorii de amenințare utilizează o tehnică de post-exploatare care îi ajută să mențină acces de doar citire la dispozitivele FortiGate VPN compromise anterior, chiar și după ce vectorul de atac original a fost remediat.
Mai devreme în această săptămână, Fortinet a început să trimită e-mailuri clienților avertizându-i că dispozitivele lor FortiGate/FortiOS au fost compromise pe baza telemetriei primite de la dispozitivele FortiGuard.
Aceste e-mailuri aveau titlul „Notificare de compromitere a dispozitivului – FortiGate / FortiOS – ** Acțiune urgentă necesară **,” fiind acordată o designație TLP:AMBER+STRICT.
„Această problemă nu este legată de nicio vulnerabilitate nouă. Acest fișier a fost lăsat în urmă de un actor de amenințare în urma exploatării unor vulnerabilități cunoscute anterior,” se menționează în e-mailuri, incluzând dar fără a se limita la CVE-2022-42475, CVE-2023-27997 și CVE-2024-21762.
După ce BleepingComputer a contactat Fortinet cu întrebări legate de aceste e-mailuri, compania a emis o avertizare joi cu privire la această nouă tehnică de exploatare. Avertizarea menționează că atunci când actorii de amenințare au compromis anterior serverele folosind vulnerabilități mai vechi, aceștia au creat linkuri simbolice în folderul de fișiere de limbă către sistemul de fișiere rădăcină de pe dispozitivele cu SSL-VPN activat.
Aceasta le permite să mențină acces de doar citire la sistemul de fișiere rădăcină prin intermediul panoului web SSL-VPN accesibil public chiar și după ce sunt descoperiți și eliminați.
„Un actor de amenințare a folosit o vulnerabilitate cunoscută pentru a implementa acces de doar citire la dispozitivele FortiGate vulnerabile. Acest lucru s-a realizat prin crearea unui link simbolic care conectează sistemul de fișiere al utilizatorului și sistemul de fișiere rădăcină într-un folder folosit pentru a servi fișierele de limbă pentru SSL-VPN. Această modificare a avut loc în sistemul de fișiere al utilizatorului și a evitat detectarea,” menționează Fortinet.
„Prin urmare, chiar dacă dispozitivul client a fost actualizat cu versiuni FortiOS care au abordat vulnerabilitățile originale, acest link simbolic ar fi putut fi lăsat în urmă, permițând actorului de amenințare să mențină acces de doar citire la fișierele de pe sistemul de fișiere al dispozitivului, care ar putea include configurații.”
În timp ce Fortinet nu a dezvăluit intervalul exact al acestor atacuri, Computer Emergency Response Team of France (CERT-FR), parte a Agenției Naționale pentru Securitatea Sistemelor de Informații (ANSSI) a țării, a dezvăluit joi că această tehnică a fost utilizată într-o undă masivă de atacuri începând din 2023.
„CERT-FR este conștientă de o campanie masivă care implică numeroase dispozitive compromise în Franța. În timpul operațiunilor de răspuns la incidente, CERT-FR a aflat de compromisuri care au avut loc începând din 2023,” a declarat CERT-FR.
În prezent, CISA a sfătuit și apărătorii rețelelor să raporteze orice incidente și activități anormale legate de raportul Fortinet la Centrul de Operațiuni 24/7 al său la [email protected] sau (888) 282-0870.
În e-mailurile trimise mai devreme în această săptămână, Fortinet le-a recomandat clienților să-și upgradeze imediat firewall-urile FortiGuard la cea mai recentă versiune a FortiOS (7.6.2, 7.4.7, 7.2.11, 7.0.17, 6.4.16) pentru a elimina fișierele maligne folosite pentru persistență.
Administratorii au fost, de asemenea, îndemnați să-și revizuiască imediat configurațiile dispozitivelor și să se concentreze pe găsirea oricăror modificări neașteptate. Acest document de suport oferă mai multe îndrumări privind resetarea credențialelor expuse potențial pe dispozitivele compromise.
CERT-FR a recomandat, de asemenea, izolarea dispozitivelor VPN compromise de rețea, resetarea tuturor secretelor (credențiale, certificate, token-uri de identitate, chei criptografice, etc.), și căutarea de dovezi privind mișcarea laterală în rețea.
Bazându-se pe o analiză a 14M de acțiuni malitioase, descoperiți cele mai bune 10 tehnici MITRE ATT&CK din spatele a 93% din atacuri și cum să vă apărați împotriva lor.
Microsoft: Folderul ‘inetpub’ de pe Windows creat de o soluție de securitate, nu-l ștergeți
Defecțiunea critică a FortiSwitch permite hackerilor să schimbe parolele de administare de la distanță
Noul ransomware SuperBlack exploatează vulnerabilități de bypass ale autentificării Fortinet
Defecțiunea WinRAR ocolește alertele de securitate Windows Mark of the Web
Ivanti: Dispozitivele VPN sunt vulnerabile dacă se trimit configurații după mitigație
Leave a Reply