Menu dostępności

dwie luki w zaporze sieciowej Fortinet w atakach prowadzących do wdrażania ransomware

Łatajcie Fortinet! Ataki prowadzą do szyfrowania infrastruktury

Forescout, firma zajmująca się cyberbezpieczeństwem, ostrzega, że „rosyjski aktor zagrożeń” wykorzystuje dwie luki w zaporze sieciowej Fortinet w atakach prowadzących do wdrażania ransomware. Chodzi o grupę hakerską określaną jako Mora_001, która najwyraźniej przyjęła oprogramowanie LockBit builder i stworzyła własną odmianę ransomware, nazwaną przez Forescout „SuperBlack”.

Mora_001, jak twierdzą specjaliści, ma powiązania, choć jest osobnym bytem w świecie gangów ransomware. Wnioskują to na podstawie wzorców eksploatacji, metod użycia programu oraz posługiwania się tym samym co LockBit identyfikatorem dla usługi komunikacji peer-to-peer Tox.

„Zaobserwowane wzorce po eksploatacji pozwoliły nam zdefiniować unikalny podpis operacyjny, który odróżnia grupę Mora_001 od innych operatorów oprogramowania ransomware, w tym podmiotów stowarzyszonych z LockBit. Te spójne ramy operacyjne sugerują odrębnego aktora zagrożeń ze zorganizowanym planem działania” – tłumaczą fachowcy Forescout.

Zaobserwowano, że aktor zagrożenia wykorzystuje luki CVE-2024-55591 i CVE-2025-24472 – dwie podatności w FortiOS i FortiProxy, które umożliwiają atakującym podniesienie uprawnień do poziomu superadministratora na podatnym urządzeniu Fortinet.

Fortinet ogłosiło poprawki dla luki CVE-2024-55591 w styczniu, ostrzegając przed jej wykorzystaniem w środowisku naturalnym i definiując podatność jako zero-day. 11 lutego firma zaktualizowała swoje ostrzeżenie, dodając lukę CVE-2025-24472, która obejmuje dodatkowy wektor ataku.

W ciągu czterech dni od opublikowania 27 stycznia exploita proof-of-concept (PoC) ukierunkowanego na podatne urządzenia FortiOS, firma Forescout zaobserwowała, że Mora_001 wykorzystuje podatność w atakach w celu utworzenia co najmniej jednego konta użytkownika administratora systemu lokalnego.

„W niektórych przypadkach, zamiast polegać na jednym koncie administracyjnym do wszystkich działań, sprawca zagrożenia zastosował metodę łańcuchową, w której każde nowo utworzone konto administracyjne było używane do generowania dodatkowych kont” – wyjaśnia Forescout.

Po utworzeniu lokalnego konta administratora atakujący pobrali plik konfiguracji zapory, zawierający krytyczne informacje, zmodyfikowali ustawienia systemu i utworzyli skryptowe zadanie automatyzacji, aby odtworzyć użytkownika z uprawnieniami superadministratora.

Stwierdzono również, że sprawca zagrożenia tworzył lokalne konta użytkowników VPN, próbował zalogować się do innych zapór i używał wbudowanych pulpitów FortiGate do rozpoznania, prawdopodobnie szukając ścieżek ruchu bocznego.

W porównaniu do LockBit 3.0 SuperBlack upuszcza zmodyfikowaną notatkę o okupie i używa innego pliku wykonywalnego eksfiltracji danych, ale upuszcza komponent wymazujący, podobnie jak wcześniej robiły to gangi powiązane z LockBit i BrainCipher. Nazwany WipeBlack komponent usuwa w infrastrukturze dowody działania pliku wykonywalnego ransomware.

Warto łatać Fortinet, zwłaszcza że w marcu firma załatała kilka innych groźnych podatności! We wtorek 11 marca poinformowała klientów o ponad tuzinie znalezionych i załatanych  luk w zabezpieczeniach swoich produktów.

Opublikowano 17 nowych ostrzeżeń opisujących 18 luk w zabezpieczeniach dotyczących FortiOS, FortiProxy, FortiPAM, FortiSRA, FortiAnalyzer, FortiManager, FortiAnalyzer-BigData, FortiSandbox, FortiNDR, FortiWeb, FortiSIEM i FortiADC.

Luką o wysokim stopniu zagrożenia jest między innymi CVE-2023-48790, podatność XSS w FortiNDR, która może zostać wykorzystana przez nieuwierzytelnionych hakerów do wykonania dowolnego kodu lub polecenia.

W FortiOS, FortiProxy, FortiPAM, FortiSRA i FortiWeb firma załatała lukę CVE-2024-45324, która umożliwia uprzywilejowanemu atakującemu wykonywanie kodu lub poleceń za pośrednictwem specjalnie spreparowanych żądań. Informacje techniczne opisujące tę lukę wydają się publicznie dostępne.

Innym problemem o wysokim stopniu ryzyka jest luka CVE-2023-40723, która wpływa na FortiSIEM i umożliwia niezweryfikowanemu atakującemu zdalne odczytanie hasła do bazy danych za pomocą specjalnie spreparowanych żądań API. W FortiSandbox Fortinet naprawiło luki CVE-2024-45328 (eskalacja uprawnień), CVE-2024-52961 (wstrzykiwanie poleceń) i CVE-2024-54027 (odczyt poufnych danych) – wszystkie oznaczone jako „wysoki stopień ryzyka”.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...