Οι εισβολείς εκμεταλλεύονται μια νέα ευπάθεια παράκαμψης ελέγχου ταυτότητας zero-day στο FortiOS και το FortiProxy για να παραβιάσουν τα τείχη προστασίας Fortinet και να παραβιάσουν τα εταιρικά δίκτυα.
Αυτό το ελάττωμα ασφαλείας (παρακολουθείται ως CVE-2024-55591) επηρεάζει τα FortiOS 7.0.0 έως 7.0.16, FortiProxy 7.0.0 έως 7.0.19 και FortiProxy 7.2.0 έως 7.2.12. Η επιτυχής εκμετάλλευση επιτρέπει στους απομακρυσμένους εισβολείς να αποκτήσουν προνόμια υπερ-διαχειριστή κάνοντας κακόβουλα αιτήματα στη λειτουργική μονάδα websocket Node.js.
Η Fortinet λέει ότι οι εισβολείς που εκμεταλλεύονται το zero-day in the wild δημιουργούν τυχαία δημιουργούμενους διαχειριστές ή τοπικούς χρήστες σε παραβιασμένες συσκευές και τους προσθέτουν σε υπάρχουσες ομάδες χρηστών SSL VPN ή σε νέες που προσθέτουν επίσης.
Έχει επίσης παρατηρηθεί να προσθέτουν ή να αλλάζουν πολιτικές τείχους προστασίας και άλλες ρυθμίσεις και να συνδέονται στο SSLVPN χρησιμοποιώντας προηγουμένως αδίστακτους λογαριασμούς “για να φτάσουν ένα τούνελ στο εσωτερικό δίκτυο”.
Αν και η εταιρεία δεν παρείχε πρόσθετες πληροφορίες για την καμπάνια, η εταιρεία κυβερνοασφάλειας Arctic Wolf δημοσίευσε έκθεση την Παρασκευή με αντίστοιχους δείκτες συμβιβασμού (IOC), που λέει ότι τα τείχη προστασίας Fortinet FortiGate με διεπαφές διαχείρισης εκτεθειμένες στο Διαδίκτυο έχουν δεχθεί επίθεση από τα μέσα Νοεμβρίου.
«Η καμπάνια περιλάμβανε μη εξουσιοδοτημένες διαχειριστικές συνδέσεις σε διεπαφές διαχείρισης τείχη προστασίας, δημιουργία νέων λογαριασμών, έλεγχο ταυτότητας SSL VPN μέσω αυτών των λογαριασμών και διάφορες άλλες αλλαγές διαμόρφωσης», ανέφερε η Arctic Wolf Labs.
“Ενώ το διάνυσμα αρχικής πρόσβασης δεν έχει επιβεβαιωθεί οριστικά, μια ευπάθεια μηδενικής ημέρας είναι πολύ πιθανή. Οι οργανισμοί θα πρέπει να απενεργοποιήσουν επειγόντως την πρόσβαση διαχείρισης τείχους προστασίας στις δημόσιες διεπαφές το συντομότερο δυνατό.”
Το Fortinet συμβούλεψε επίσης τους διαχειριστές στη σημερινή συμβουλή να απενεργοποιήσουν τη διαχειριστική διεπαφή HTTP/HTTPS ή να περιορίσουν τις διευθύνσεις IP που μπορούν να φτάσουν στη διαχειριστική διεπαφή μέσω πολιτικών τοπικής εισαγωγής ως λύση.
Ο Arctic Wolf παρείχε επίσης ένα χρονοδιάγραμμα για αυτήν την εκστρατεία μαζικής εκμετάλλευσης CVE-2024-55591, λέγοντας ότι περιλαμβάνει τέσσερις φάσεις:
- Σάρωση ευπάθειας (16 Νοεμβρίου 2024 έως 23 Νοεμβρίου 2024)
- Αναγνώριση (22 Νοεμβρίου 2024 έως 27 Νοεμβρίου 2024)
- Διαμόρφωση SSL VPN (4 Δεκεμβρίου 2024 έως 7 Δεκεμβρίου 2024)
- Lateral Movement (16 Δεκεμβρίου 2024 έως 27 Δεκεμβρίου 2024)
“Ενώ το διάνυσμα αρχικής πρόσβασης που χρησιμοποιείται σε αυτήν την καμπάνια δεν έχει ακόμη επιβεβαιωθεί, η Arctic Wolf Labs αξιολογεί με μεγάλη σιγουριά ότι η μαζική εκμετάλλευση μιας ευπάθειας zero-day είναι πιθανή δεδομένου του συμπιεσμένου χρονοδιαγράμματος μεταξύ των επηρεαζόμενων οργανισμών καθώς και των εκδόσεων υλικολογισμικού που επηρεάζονται”, η κυβερνοασφάλεια προστέθηκε η εταιρεία.
“Δεδομένων των λεπτών διαφορών στο tradecraft και στις υποδομές μεταξύ εισβολών, είναι πιθανό πολλά άτομα ή ομάδες να έχουν εμπλακεί σε αυτήν την καμπάνια, αλλά η χρήση της jsconsole ήταν ένα κοινό νήμα σε όλους τους τομείς.”
Το Fortinet και το Arctic Wolf μοιράστηκαν σχεδόν πανομοιότυπα IOC, δηλώνοντας ότι μπορείτε να εξετάσετε τα αρχεία καταγραφής για τις ακόλουθες εγγραφές για να προσδιορίσετε εάν στοχεύτηκαν συσκευές.
Αφού συνδεθείτε μέσω της ευπάθειας, τα αρχεία καταγραφής θα εμφανίσουν μια τυχαία IP πηγής και IP προορισμού:
type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="1733486785" user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 dstip=1.1.1.1 action="login" status="success" reason="none" profile="super_admin" msg="Administrator admin logged in successfully from jsconsole"
Αφού οι φορείς απειλής δημιουργήσουν έναν χρήστη διαχειριστή, θα δημιουργηθεί ένα αρχείο καταγραφής με αυτό που φαίνεται να είναι ένα όνομα χρήστη που δημιουργείται τυχαία και μια διεύθυνση IP πηγής:
type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configured" user="admin" ui="jsconsole(127.0.0.1)" action="Add" cfgtid=1411317760 cfgpath="system.admin" cfgobj="vOcep" cfgattr="password[*]accprofile[super_admin]vdom[root]" msg="Add system.admin vOcep"
Οι εταιρείες ασφαλείας προειδοποίησαν επίσης ότι οι εισβολείς χρησιμοποιούσαν συνήθως τις ακόλουθες διευθύνσεις IP σε επιθέσεις:
1.1.1.1
127.0.0.1
2.2.2.2
8.8.8.8
8.8.4.4
Η Arctic Wolf λέει ότι ειδοποίησε τη Fortinet για τις επιθέσεις στις 12 Δεκεμβρίου 2024 και έλαβε επιβεβαίωση από το FortiGuard Labs PSIRT στις 17 Δεκεμβρίου 2024, ότι αυτή η δραστηριότητα ήταν γνωστή και ήταν ήδη υπό έρευνα.
Σήμερα και η Fortinet κυκλοφόρησε ενημερώσεις κώδικα ασφαλείας για μια κρίσιμη ευπάθεια κρυπτογραφικού κλειδιού με σκληρό κώδικα (CVE-2023-37936). Αυτή η ευπάθεια επιτρέπει σε απομακρυσμένους εισβολείς χωρίς έλεγχο ταυτότητας με το κλειδί να εκτελούν μη εξουσιοδοτημένο κώδικα μέσω δημιουργημένων κρυπτογραφικών αιτημάτων.
Τον Δεκέμβριο, το Volexity ανέφερε ότι Κινέζοι χάκερ χρησιμοποίησαν μια προσαρμοσμένη εργαλειοθήκη μετά την εκμετάλλευση με το όνομα «DeepData» για να εκμεταλλευτούν μια ευπάθεια zero-day (χωρίς αναγνωριστικό CVE) στον πελάτη FortiClient Windows VPN της Fortinet για να κλέψουν διαπιστευτήρια.
Δύο μήνες νωρίτερα, η Mandiant αποκάλυψε ότι ένα ελάττωμα του Fortinet FortiManager με το όνομα “FortiJump” (παρακολούθηση ως CVE-2024-47575) είχε γίνει αντικείμενο εκμετάλλευσης ως μηδενική ημέρα για την παραβίαση περισσότερων από 50 διακομιστών από τον Ιούνιο.
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια: Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση; Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο. Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
