Menu dostępności

dwie luki w zaporze sieciowej Fortinet w atakach prowadzących do wdrażania ransomware

Łatajcie Fortinet! Ataki prowadzą do szyfrowania infrastruktury

Forescout, firma zajmująca się cyberbezpieczeństwem, ostrzega, że „rosyjski aktor zagrożeń” wykorzystuje dwie luki w zaporze sieciowej Fortinet w atakach prowadzących do wdrażania ransomware. Chodzi o grupę hakerską określaną jako Mora_001, która najwyraźniej przyjęła oprogramowanie LockBit builder i stworzyła własną odmianę ransomware, nazwaną przez Forescout „SuperBlack”.

Mora_001, jak twierdzą specjaliści, ma powiązania, choć jest osobnym bytem w świecie gangów ransomware. Wnioskują to na podstawie wzorców eksploatacji, metod użycia programu oraz posługiwania się tym samym co LockBit identyfikatorem dla usługi komunikacji peer-to-peer Tox.

„Zaobserwowane wzorce po eksploatacji pozwoliły nam zdefiniować unikalny podpis operacyjny, który odróżnia grupę Mora_001 od innych operatorów oprogramowania ransomware, w tym podmiotów stowarzyszonych z LockBit. Te spójne ramy operacyjne sugerują odrębnego aktora zagrożeń ze zorganizowanym planem działania” – tłumaczą fachowcy Forescout.

Zaobserwowano, że aktor zagrożenia wykorzystuje luki CVE-2024-55591 i CVE-2025-24472 – dwie podatności w FortiOS i FortiProxy, które umożliwiają atakującym podniesienie uprawnień do poziomu superadministratora na podatnym urządzeniu Fortinet.

Fortinet ogłosiło poprawki dla luki CVE-2024-55591 w styczniu, ostrzegając przed jej wykorzystaniem w środowisku naturalnym i definiując podatność jako zero-day. 11 lutego firma zaktualizowała swoje ostrzeżenie, dodając lukę CVE-2025-24472, która obejmuje dodatkowy wektor ataku.

W ciągu czterech dni od opublikowania 27 stycznia exploita proof-of-concept (PoC) ukierunkowanego na podatne urządzenia FortiOS, firma Forescout zaobserwowała, że Mora_001 wykorzystuje podatność w atakach w celu utworzenia co najmniej jednego konta użytkownika administratora systemu lokalnego.

„W niektórych przypadkach, zamiast polegać na jednym koncie administracyjnym do wszystkich działań, sprawca zagrożenia zastosował metodę łańcuchową, w której każde nowo utworzone konto administracyjne było używane do generowania dodatkowych kont” – wyjaśnia Forescout.

Po utworzeniu lokalnego konta administratora atakujący pobrali plik konfiguracji zapory, zawierający krytyczne informacje, zmodyfikowali ustawienia systemu i utworzyli skryptowe zadanie automatyzacji, aby odtworzyć użytkownika z uprawnieniami superadministratora.

Stwierdzono również, że sprawca zagrożenia tworzył lokalne konta użytkowników VPN, próbował zalogować się do innych zapór i używał wbudowanych pulpitów FortiGate do rozpoznania, prawdopodobnie szukając ścieżek ruchu bocznego.

W porównaniu do LockBit 3.0 SuperBlack upuszcza zmodyfikowaną notatkę o okupie i używa innego pliku wykonywalnego eksfiltracji danych, ale upuszcza komponent wymazujący, podobnie jak wcześniej robiły to gangi powiązane z LockBit i BrainCipher. Nazwany WipeBlack komponent usuwa w infrastrukturze dowody działania pliku wykonywalnego ransomware.

Warto łatać Fortinet, zwłaszcza że w marcu firma załatała kilka innych groźnych podatności! We wtorek 11 marca poinformowała klientów o ponad tuzinie znalezionych i załatanych  luk w zabezpieczeniach swoich produktów.

Opublikowano 17 nowych ostrzeżeń opisujących 18 luk w zabezpieczeniach dotyczących FortiOS, FortiProxy, FortiPAM, FortiSRA, FortiAnalyzer, FortiManager, FortiAnalyzer-BigData, FortiSandbox, FortiNDR, FortiWeb, FortiSIEM i FortiADC.

Luką o wysokim stopniu zagrożenia jest między innymi CVE-2023-48790, podatność XSS w FortiNDR, która może zostać wykorzystana przez nieuwierzytelnionych hakerów do wykonania dowolnego kodu lub polecenia.

W FortiOS, FortiProxy, FortiPAM, FortiSRA i FortiWeb firma załatała lukę CVE-2024-45324, która umożliwia uprzywilejowanemu atakującemu wykonywanie kodu lub poleceń za pośrednictwem specjalnie spreparowanych żądań. Informacje techniczne opisujące tę lukę wydają się publicznie dostępne.

Innym problemem o wysokim stopniu ryzyka jest luka CVE-2023-40723, która wpływa na FortiSIEM i umożliwia niezweryfikowanemu atakującemu zdalne odczytanie hasła do bazy danych za pomocą specjalnie spreparowanych żądań API. W FortiSandbox Fortinet naprawiło luki CVE-2024-45328 (eskalacja uprawnień), CVE-2024-52961 (wstrzykiwanie poleceń) i CVE-2024-54027 (odczyt poufnych danych) – wszystkie oznaczone jako „wysoki stopień ryzyka”.

Popularne

Grupa ransomware zyskuje pełną kontrolę nad platformą Azure! Analiza ataku

Grupa ransomware zyskuje pełną kontrolę nad platformą Azure! Analiza ataku

Ciekawe informacje przynoszą badacze Microsoft. Opisali oni, w jaki sposób często omawiane przez nas ataki na AD mogą posłużyć do przejęcia całego środowiska chmurowego. Jako przykład służy Storm-0501 ...
PromptLock – pierwszy ransomware oparty na sztucznej inteligencji!

PromptLock – pierwszy ransomware oparty na sztucznej inteligencji!

MalwareAI, czyli złośliwe oprogramowanie oparte na sztucznej inteligencji, jest bliżej, niż oczekiwano. Odkryto pierwszą rodzinę ransomware wykorzystującą systemy sztucznej inteligencji do operacji lokalny...
Cyberprzestępcy sięgają po formularze „Contact Us” – nowy atak phishingowy na firmy produkcyjne

Cyberprzestępcy sięgają po formularze „Contact Us” – nowy atak phishingowy na firmy produkcyjne

Najnowsza kampania phishingowa, ujawniona przez badaczy z Check Point, koncentruje się na firmach z sektora produkcyjnego oraz innych kluczowych elementach łańcuchów dostaw. Jej szczególna złośliwość polega n...
Popularne oszustwa na WhatsAppie i jak ich uniknąć

Popularne oszustwa na WhatsAppie i jak ich uniknąć

Z ponad dwoma miliardami użytkowników WhatsApp oferuje ogromną pulę potencjalnych celów dla scamerów. Aby jeszcze bardziej skomplikować sprawę, oszuści cały czas zdobywają nowe wyrafinowane umiejętno...
Atak na Palo Alto Networks. Jak kradzież tokenów OAuth z Salesloft Drift doprowadziła do wycieku danych klientów w Salesforce

Atak na Palo Alto Networks. Jak kradzież tokenów OAuth z Salesloft Drift doprowadziła do wycieku danych klientów w Salesforce

2 września Palo Alto Networks poinformowało o incydencie bezpieczeństwa: atakujący, korzystając z wykradzionych tokenów OAuth (pochodzących z kompromitacji aplikacji Salesloft Drift), uzyskali dostęp...