Fortinet nie ma ostatnio dobrej passy. Niedawno informowaliśmy o atakach, które prowadziły do szyfrowania infrastruktury. Dzisiaj pochylimy się nad pojawiającymi się w sieci ostrzeżeniami.
W zeszły weekend (12-13 kwietnia) firma zajmująca się cyberbezpieczeństwem ThreatMon ostrzegła poprzez serwis X o poście na forum dark web, w którym haker twierdzi, że zero-day w zaporach FortiGate może zostać wykorzystany zdalnie, bez uwierzytelniania, w celu wykonania dowolnego kodu.
Według tej osoby exploit zapewniłby pełną kontrolę nad podatnym urządzeniem, umożliwiając wyodrębnienie plików konfiguracyjnych FortiOS i przechowywanych w nich poufnych informacji, w tym danych uwierzytelniających, uprawnień konta administratora, polityk zapory oraz statusu uwierzytelniania dwuskładnikowego.
Post aktora zagrożeń pojawił się w tym samym czasie, w którym Fortinet opublikował nowe ostrzeżenie dotyczące wykorzystania znanych luk w swoich produktach FortiOS i FortiProxy.
Według Fortinet co najmniej trzy luki, dla których wydano poprawki – CVE-2022-42475, CVE-2023-27997 i CVE-2024-21762 – zostały wykorzystane w globalnych atakach w celu „wdrożenia dostępu tylko do odczytu do podatnych urządzeń FortiGate”.
Dwie z powyższych podatności były wcześniej wykorzystywane przez grupę hakerską Void Typhoon, łączoną przez analityków z rządem Chin.
Tym razem atakujący posłużyli się techniką opartą na symlinkach – specjalnych plikach odsyłających do innych lokalizacji w systemie. Fortinet wyjaśnia, że hakerzy stworzyli symlink, który umożliwiał użytkownikom dostęp do danych konfiguracyjnych głównego systemu plików – choć jedynie w trybie „tylko do odczytu”, wystarczyło to do utrzymania przyczółku i zbierania informacji.
Firma zapewnia, że podjęła działania mające na celu załagodzenie zagrożenia, i poinformowała dotkniętych klientów. W sytuacjach, w których nie jest możliwe zastosowanie bezpiecznych wersji systemu, Fortinet zaleca tymczasowe wyłączenie funkcji SSL-VPN – to właśnie jej aktywność umożliwia skuteczne przeprowadzenie ataku.
Fortinet wdrożył nowe środki zaradcze, w tym sygnaturę AV/IPS oraz modyfikacje w najnowszych wersjach oprogramowania w celu wykrywania i czyszczenia symlinku oraz komunikacji z potencjalnie zagrożonymi klientami.