Luka #CVE-2022-40684 - łatajcie urządzenia Fortinet

Nie tak dawno, bo w październiku, pisaliśmy o nowej podatności w interfejsie administracyjnym Fortinet, umożliwiającej cyberprzestępcom zdalne zalogowanie się do niezałatanych urządzeń.

Pisząc o tej podatności, pragniemy uświadomić Was, jak ważną rolę w firmie pełnią tego typu sieciowe urządzania brzegowe (i nie tylko) w utrzymaniu bezpieczeństwa infrastruktury i dlaczego nie powinniśmy traktować tych informacji pobieżnie. Zalecamy też przeprowadzenie audytu konfiguracji systemu w celu zbadania, czy nie został w niej utworzony backdoor.

Podatność opisują eksperci ds. bezpieczeństwa z firmy Cyble. Zidentyfikowali oni jakiś czas temu lukę CVE-2022-40684, mającą wpływ na wiele wersji następujących produktów Fortinet:

  • FortiOS,
  • FortiProxy,
  • FortiSwitchManager.

Niedawno załatana krytyczna luka w produktach Fortinet mogła zostać użyta przez złośliwych aktorów w celu uzyskania dostępu do sieci korporacyjnych i nie tylko.

Okazało się również, że cyberprzestępcy wykorzystują ją do sprzedaży na czarnym rynku dostępu poprzez VPN do takich środowisk.

CVE-2022-40684 luka fortinet
Źródło: Twitter

Produkty, których dotyczy luka

Poniżej wymieniamy produkty, w których wykryto podatność:

  • FortiOS w wersji od 7.2.0 do 7.2.1,
  • FortiOS w wersji od 7.0.0 do 7.0.6,
  • FortiProxy wersja 7.2.0,
  • FortiProxy w wersji od 7.0.0 do 7.0.6,
  • FortiSwitchManager w wersji 7.2.0,
  • FortiSwitchManager wersja 7.0.0.

Atak ukierunkowany na produkty Fortinet

Podczas ataku na urządzenia Fortinet cyberprzestępcy sprawdzają, czy można na nich przeprowadzić exploitację i uzyskać dostęp do funkcji REST API poprzez wykorzystanie specjalnego mechanizmu kontrolnego.

Należy również pamiętać, że podatność została opublikowana na początku października, ale była wykorzystywana już wcześniej. Możemy się o tym dowiedzieć chociażby z poniższego zestawienia:

Historia podatności:

  • 6 października: Wysłano powiadomienie e-mail do głównych właścicieli kont wszystkich urządzeń, których potencjalnie dotyczył problem
  • 10 października: Dostawca wydał zalecenie odnośnie do luk w zabezpieczeniach
  • 10 października: Badacze Horizon3 napisali o luce na Twitterze
  • 11 października: CISA dodała lukę Fortinet (CVE-2022-40684) do swojego „katalogu znanych wykorzystanych luk”
  • 13 października: Blog techniczny i POC udostępnione w domenie publicznej; rozpoczęcie aktywnej eksploatacji
  • 17 listopada: Sprzedaż dostępu FortiOS VPN na forum poświęconym cyberprzestępczości

Osoba atakująca jest zwykle w stanie uzyskać pełny dostęp do docelowego systemu, aktualizując lub dodając ważny publiczny klucz SSH do konta powiązanego z danym systemem. Poniżej prezentujemy żądanie http typu „PUT” wysłane przez hakera z Internetu do podatnego systemu Fortinet.

CVE-2022-40684 luka fortinet
Źródło: Cyble

Widzimy na nim nagłówek „Forwarded”, za pomocą którego atakujący może ustawić adres IP klienta „client_ip” na „127.0.0.1”. Proces uwierzytelniania „trusted access” weryfikuje następnie adres klienta jako „127.0.0.1” oraz używa „User Agent” jako „Report Runner” – te dwa parametry znajdują się pod kontrolą przestępcy.

Tak utworzony przyczółek i wiedza zdobyta przez atakującego dzięki wykorzystaniu luki dają możliwość przeprowadzenia różnych innych ataków na resztę środowiska IT.

Konsekwencją tego mogą być dalsze nielegalne działania:

  • umożliwienie dostępu do zaatakowanego systemu poprzez modyfikację kluczy ssh administratorów,
  • dodanie nowych użytkowników lokalnych do systemu,
  • przekierowanie ruchu poprzez aktualizację konfiguracji sieci,
  • pobranie i modyfikacja konfiguracji systemu,
  • uzyskanie innych poufnych informacji o systemie, inicjując przechwytywanie pakietów.

Na forach w darknecie przestępcy mogą również rozpowszechniać następujące poufne dane:

  • pobrane informacje o systemie,
  • informacje o konfiguracji systemu,
  • pobrane szczegółowe informacje na temat sieci.

Jak twierdzi jeden ze skanerów online, istnieje ponad 100 000 firewalli FortiGate, które są wystawione do Internetu.

Nielegalna dystrybucja danych

Jedno z rosyjskich forów poświęconych cyberprzestępczości było rutynowo monitorowane przez badaczy z Cyble. Zauważyli oni, że cyberprzestępcy dystrybuują na nim nieautoryzowany dostęp do Fortinet VPN .

CVE-2022-40684 luka fortinet
Źródło: Cyble. Dostęp do FortiOS jest dystrybuowany na rosyjskich forach poświęconych cyberprzestępczości

Zalecenia

Poniżej wymieniliśmy wszystkie zalecenia w celu zabezpieczenia sieci przed problemem:

  1. Jeśli wgrałeś poprawki, sprawdź konfigurację używanego Fortinet, bo być może ktoś wcześniej włamał się do niego i ustawił w nim backdoora lub zmienił konfigurację.
  2. Ponownie poprawnie skonfiguruj zaporę sieciową.
  3. Jeśli nie wgrałeś poprawek, to zrób to jak najszybciej i pobierz je od oficjalnego dostawcy systemów, których dotyczy problem. Wykonaj też audyt systemów dotkniętych problemem.
  4. Skonfiguruj odpowiednią segmentację sieci i wdróż odpowiednie środki bezpieczeństwa w firmie.

Ponadto warto rozważyć wdrożenie następujących systemów do monitorowania urządzeń Fortinet, procesów i nie tylko:

  1. System do ciągłego monitorowania i rejestrowania aktywności sieciowej w celu jak najwcześniejszego wykrywania anomalii sieciowych.
  2. Wdrożenie we właściwy i efektywny sposób zarządzania dostępem uprzywilejowanym w środowisku IT.
  3. Przeprowadzenie cyklicznych audytów i skanowań podatności w środowisku w celu znalezienia luk w zabezpieczeniach, które atakujący mogą wykorzystać. Konieczne są regularne audyty i testy podatności na zagrożenia.
  4. Upewnienie się, że firma ma wdrożone bezpieczne procesy tworzenia kopii zapasowych, archiwizacji i odzyskiwania.
  5. Szkolenie pracowników w zakresie świadomości bezpieczeństwa cybernetycznego.
Podziel się z innymi tym artykułem!