Fortinet-klanten die een kritieke authenticatie-bypass-kwetsbaarheid die de leverancier in oktober in meerdere versies van zijn FortiOS-, FortiProxy- en FortiSwitch Manager-technologieën openbaarde, nog niet hebben gepatcht, hebben nu een extra reden om dit snel te doen.
Minstens één bedreigingsactor, actief op een Russisch Dark Web-forum, is begonnen met het verkopen van toegang tot meerdere netwerken die zijn gecompromitteerd via de kwetsbaarheid (CVE-2022-40684), en er zouden er snel meer kunnen volgen. Onderzoekers van Cyble die de dreigingsactiviteit opmerkten, beschreven dat de slachtofferorganisaties waarschijnlijk niet-gepatchte en verouderde versies van FortiOS gebruikten.
Toegang tot gecompromitteerde netwerken verkopen
Dhanalakshmi PK, senior director malware en research intelligence bij Cyble, zegt dat de beschikbare informatie van het bedrijf erop wijst dat de bedreigingsactor via de kwetsbaarheid mogelijk toegang heeft tot vijf grote organisaties. De analyse van Cyble toonde aan dat de aanvaller probeerde zijn eigen openbare sleutel toe te voegen aan het gebruikersaccount van de beheerder op de gecompromitteerde systemen.
"Een aanvaller kan een geldige openbare SSH-sleutel updaten of toevoegen aan een gericht account op een systeem en kan vervolgens volledige toegang krijgen tot dat systeem", zegt Dhanalakshmi. "Bovendien zou de bedreigingsactor andere aanvallen op de rest van de IT-omgeving kunnen lanceren met de steun en kennis die is opgedaan door deze kwetsbaarheid te misbruiken."
Cyble zei dat het een scan had uitgevoerd toonde meer dan 100,000 Aan het internet blootgestelde FortiGate-firewalls, waarvan een aanzienlijk aantal waarschijnlijk kan worden misbruikt omdat ze niet gepatcht zijn tegen de kwetsbaarheid
Fortinet openbaar gemaakt CVE-2022-40684 op 10 oktober, een paar dagen later klanten persoonlijk informeren van de getroffen producten over de dreiging. De kwetsbaarheid geeft een niet-geverifieerde aanvaller in wezen een manier om volledige controle te krijgen over een getroffen Fortinet-product door het speciaal vervaardigde HTTP- en HTTPS-verzoeken te sturen. Beveiligingsonderzoekers beschrijven de kwetsbaarheid als gemakkelijk te vinden en triviaal om misbruik van te maken, omdat een aanvaller alleen maar toegang hoeft te krijgen tot de beheerinterface van een kwetsbaar systeem.
Populair doelwit voor aanvallers
Toen Fortinet de kwetsbaarheid openbaarde, drong het er bij klanten op aan om onmiddellijk te updaten naar gepatchte versies van de getroffen producten en waarschuwde het voor actieve exploitactiviteiten gericht op de fout. Het drong er ook bij bedrijven die niet konden updaten op aan om HTTPS-beheer onmiddellijk uit te schakelen op hun kwetsbare internetgerichte Fortinet-producten. De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) maakte onmiddellijk een lijst van de fout in haar catalogus van bekende misbruikte kwetsbaarheden en gaf federale civiele instanties tot 1 november 2022 de tijd om het probleem aan te pakken.
Veel van de zorgen kwamen voort uit de populariteit van Fortinet-producten - en technologieën van andere leveranciers in dezelfde netwerkedgecategorie - onder bedreigingsactoren. Kort nadat Fortinet de fout had onthuld, werd proof-of-concept-code voor misbruik ervan publiekelijk beschikbaar, en beveiligingsleveranciers meldden grootschalige scanactiviteiten gericht op de fout. Het aantal unieke IP-adressen dat zich op de fout richtte, steeg in een paar dagen tijd van de enkele cijfers tot meer dan 40.
En dat aantal is gegroeid. James Horseman, exploitontwikkelaar bij Horizon3ai, een beveiligingsleverancier die veel van het initiële onderzoek naar de kwetsbaarheid deed, zegt dat het aantal unieke IP's dat zich momenteel richt op de Fortinet-fout is gestegen tot 112, volgens gegevens van GreyNoise, die schadelijke scanactiviteiten op internet bijhoudt. het internet.
"Deze Fortinet-apparaten zijn meestal gericht op internet voor bedrijven en worden zelden gecontroleerd", voegt Zach Hanley, hoofdaanvalsingenieur bij Horizon3ai, toe. "Deze combinatie maakt het geweldig voor langdurige initiële toegang tot een netwerk voor bedreigingsactoren die verkenningen willen uitvoeren, ransomware willen inzetten, gegevens willen stelen, enz."
Bedreigingsactoren hebben om dezelfde reden op dezelfde manier gehamerd op andere Fortinet-fouten. Bekende voorbeelden zijn onder meer CVE-2018-13379, CVE-2020-12812, en CVE-2019-5591, een set van drie gebreken die door Iran gesteunde dreigingsgroepen werden gebruikt bij tal van aanvallen. In april 2021 zal de FBI en CISA waarschuwden van andere geavanceerde persistente dreigingsgroepen die gebruikmaken van dezelfde reeks gebreken in aanvallen op organisaties in de VS en elders.
.
- Coinsmart. Europa's beste Bitcoin- en crypto-uitwisseling.Klik Hier
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://www.darkreading.com/threat-intelligence/tcyberattackers-selling-access-networks-compromised-fortinet-flaw
