ФБР предупреждает о том, что группа APT использует FatPipe VPN нулевого дня с мая

Последнее обновление 05.01.2023

Федеральное бюро расследований (ФБР) предупредило о расширенной постоянной угрозе (APT), которая может поставить под угрозу кластеризацию маршрутизаторов FatPipe и продукты балансировки нагрузки для взлома сетей целей.

FatPipe – это компания по производству компьютерного сетевого оборудования в Солт-Лейк-Сити со штаб-квартирой, специализирующаяся на решениях для оптимизации WAN, и многие компании из списка Fortune 1000 включены в список ее клиентов.

Продукты FatPipe используют организации из всех основных секторов промышленности, включая государственные и военные структуры, муниципалитеты, коммунальные предприятия, образовательные учреждения, а также финансовые и медицинские учреждения.

«По состоянию на ноябрь 2021 года , ФБР судебно – анализ показал , что эксплуатация 0 дней уязвимости в программном обеспечении в FatPipe MPVPN устройства , идущей по крайней мере мая 2021 года,» сказал , что ФБР в флэш – предупреждение выдается на этой неделе.

«Уязвимость позволила субъектам APT получить доступ к функции неограниченной загрузки файлов, чтобы удалить веб-оболочку для действий по эксплуатации с корневым доступом, что привело к повышенным привилегиям и потенциальной последующей активности».

Взломанные VPN, используемые для бокового движения

После взлома уязвимых устройств FatPipe злоумышленники использовали их для бокового проникновения в сети своих целей.

Ошибка нулевого дня, использованная в этих атаках, затрагивает все программное обеспечение устройств FatPipe WARP, MPVPN и IPVPN до последних выпусков 10.1.2r60p93 и 10.2.2r44p1.

У уязвимости еще нет идентификатора CVE, но, по данным ФБР, FatPipe исправила ее в этом месяце и выпустила рекомендацию по безопасности, отслеживаемую под тегом FPSA006 .

«Уязвимость в интерфейсе веб-управления программного обеспечения FatPipe может позволить удаленному злоумышленнику загрузить файл в любое место файловой системы на уязвимом устройстве», – заявляет компания.

«Уязвимость связана с отсутствием механизмов проверки ввода и проверки для определенных HTTP-запросов на уязвимом устройстве. Злоумышленник может воспользоваться этой уязвимостью, отправив измененный HTTP-запрос на уязвимое устройство».

Страница рекомендаций FatPipe также включает советы о том, как клиенты могут устранить ошибку, отключив доступ к пользовательскому интерфейсу на всех интерфейсах WAN или настроив списки доступа на странице интерфейса, чтобы разрешить доступ только из надежных источников.

Вчера ФБР также предупредило в совместном сообщении с агентствами по кибербезопасности США, Великобритании и Австралии, что поддерживаемая Ираном хакерская группа активно использует уязвимости Microsoft Exchange ProxyShell и Fortinet .