Fortinet исправляет ошибку, позволяющую злоумышленникам удаленно захватить серверы

32
Операция «фишинг как услуга» использует двойное воровство для увеличения прибыли

Fortinet выпустила обновления безопасности для устранения уязвимости, связанной с внедрением команд, которая может позволить злоумышленникам получить полный контроль над серверами, на которых установлены уязвимые брандмауэры веб-приложений FortiWeb (WAF).

Недостаток безопасности, обнаруженный исследователем Rapid7 Уильямом Ву, еще не получил CVE ID, и он влияет на Fortinet FortiWeb версий 6.3.11 и более ранних.

Успешная эксплуатация позволяет проверенным злоумышленникам выполнять произвольные команды от имени пользователя root в базовой системе через страницу конфигурации сервера SAML.

Хотя злоумышленники должны пройти аутентификацию в интерфейсе управления целевого устройства FortiWeb, чтобы воспользоваться этой ошибкой, они могут легко подключиться к другим уязвимостям, таким как обход аутентификации CVE-2020-29015, исправленный ранее в этом году.

«Злоумышленник может использовать эту уязвимость, чтобы получить полный контроль над уязвимым устройством с максимально возможными привилегиями», – пояснил Rapid7.

«Они могут установить постоянную оболочку, программное обеспечение для крипто-майнинга или использовать взломанную платформу для доступа к уязвимой сети за пределами DMZ».

Для защиты от атак, которые попытаются использовать эту ошибку, администраторам рекомендуется заблокировать доступ к интерфейсу управления устройством FortiWeb из ненадежных сетей (например, из Интернета).

Такие устройства должны быть доступны только через доверенные внутренние сети или безопасное VPN-соединение, чтобы блокировать попытки использования злоумышленниками.

График раскрытия информации:

  • Июнь 2021 года: проблема обнаружена и подтверждена Уильямом Ву из Rapid7.
  • Чт, 10 июня 2021 г .: Первоначальное раскрытие информации поставщику через контактную форму PSIRT
  • Пт, 11 июня 2021 г .: подтверждено продавцом (билет 132097)
  • Среда, 11 августа 2021 г .: Обращение к поставщику
  • Вт, 17 августа 2021 г .: публичное раскрытие информации

Устройства Fortinet – привлекательная цель

Финансово мотивированные и спонсируемые государством злоумышленники на протяжении многих лет активно атакуют непропатченные серверы Fortinet.

Например, они злоупотребили уязвимостью CVE-2018-13379 Fortinet SSL VPN для компрометации доступных в Интернете систем поддержки выборов в США , при этом Fortinet предупреждает клиентов о необходимости исправления уязвимости в августе 2019 года , июле 2020 года , ноябре 2020 года и снова в апреле 2021 года .

В ноябре злоумышленник поделился списком однострочных эксплойтов CVE-2018-13379, которые могли быть использованы для кражи учетных данных VPN примерно для 50000 VPN-серверов Fortinet, включая государственные учреждения и банки.

Ранее в этом году Fortinet исправила несколько уязвимостей, затронувших несколько ее продуктов. Исправленные проблемы включают ошибки удаленного выполнения кода (RCE), внедрения SQL и отказа в обслуживании (DoS) в продуктах FortiProxy SSL VPN и FortiWeb Web Application Firewall (WAF).

В апреле ФБР и CISA предупредили о спонсируемых государством хакерских группах, получающих доступ к устройствам Fortinet с помощью уязвимостей CVE-2018-13379 , CVE-2020-12812 и CVE-2019-5591 FortiOS.

В том же месяце Kaspersky также сообщил, что VPN-сервисы Fortinet используются новым штаммом вымогателей, управляемым человеком, известным как Cring (он же Crypt3r, Vjiszy1lo, Ghost, Phantom) для взлома и шифрования сетей компаний промышленного сектора .

Через месяц ФБР выпустило экстренное предупреждение о спонсируемых государством злоумышленниках, взломавших сервер муниципального правительства США после компрометации брандмауэра Fortinet FortiGate.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here