Хакери, можливо, здійснили зворотний інжиніринг лютневого патчу.
Хакери, можливо, обійшли виправлення для шлюзових пристроїв Fortinet місячної давності, що призвело до попередження від федерального уряду США про його активну експлуатацію.
Принаймні один дослідник безпеки стверджує, що Fortinet також стикається з перспективою появи ще однієї вразливості нульового дня, яка ще не була кодифікована в системі Common Vulnerabilities and Exposures (Загальні вразливості та уразливості).
Виробник брандмауерів і VPN з Кремнієвої долини входить до натовпу виробників периферійних пристроїв, до яких за останні два роки різко зросла увага хакерів з боку національних держав. Китайська кампанія кібершпигунства, націлена на пристрої безпеки FortiGate, помічена Нідерландським національним центром кібербезпеки в лютому, виявилася «набагато масштабнішою, ніж було відомо раніше», – попередило агентство в червні.
У федеральному повідомленні, поширеному 9 жовтня Агентством кібербезпеки та безпеки інфраструктури США, йдеться про те, що хакери активно експлуатують вразливість CVE-2024-23113. Вразливість дозволяє зловмисникам передавати спеціально відформатований рядок, який виводить з ладу спеціальну операційну систему Linux, на якій працюють пристрої Fortinet. Хакери можуть включити в рядок інструкції для додавання користувача або проштовхування оновлень конфігурації.
У лютому компанія Fortinet виправила цей недолік, який оцінюється в 9,8 балів за 10-бальною шкалою CVSS, що робить його застосування критично важливим. Сканування Інтернету, проведене Shadowserver Foundation, показало приблизно 88 000 вразливих екземплярів по всьому світу.
Деякі дослідники безпеки кажуть, що лютневий патч, схоже, не повністю знищив баг.
«Я сильно підозрюю, що сталося так: Fortinet виправила помилку, але не провела ретельне тестування всієї функції, а потім хтось – швидше за все, національна держава – виявив, що може використовувати злегка модифіковану атаку для використання тієї ж помилки», – сказав Боббі Кузьма, директор з наступальних кібероперацій компанії ProCircular.
Індикатори, що вказують на цей напрямок, включають раптове зникнення протягом останнього тижня з GitHub репозиторіїв з доказами концепції для експлойтів CVE-2024-23113, що свідчить про занепокоєння фахівців з кібербезпеки з приводу цієї вразливості, сказав Кузьма в інтерв’ю Information Security Media Group.
Fortinet також порадила клієнтам на вихідних оновити правила брандмауера, припускаючи, що атака може бути здійснена на основі певного шаблону рядка або з дуже обмеженого набору IP-адрес, додав він. ISMG не бачила рекомендацію, яку один системний адміністратор описав як таку, що містить обмеження на розкриття «TLP:AMBER+STRICT».
За словами дослідника безпеки Кевіна Бомонта (Kevin Beaumont) в середу, ця рекомендація є свідченням окремої вразливості від CVE-2024-23113.
Якщо Бомонт має рацію – а компанія Fortinet не відповіла на численні спроби отримати коментар – то «нульовий день» стане останньою в серії вразливостей критичного або високого рівня, які клієнти Fortinet повинні були усунути в цьому році. З 27 вразливостей, зафіксованих Fortinet в цьому році, майже чотири з 10 оцінюються щонайменше на 7 балів за шкалою CVSS, включаючи лютневий нульовий день, який використовувався в дикій природі.
Уразливості периферійних пристроїв та мережевої інфраструктури, як правило, займають високі місця в показниках нагальності кібербезпеки, як виявила компанія WithSecure в червні. Кількість вразливостей периферійних пристроїв та інфраструктури, які, як попереджає CISA, активно експлуатуються, також помітно зросла в цьому році в порівнянні з минулим, повідомляє компанія з кібербезпеки.
На відміну від кінцевих пристроїв, периферійні пристрої не отримують регулярні оновлення патчів, сказав Кузьма. Але їх не обов’язково важко експлуатувати. «Більшість пристроїв – це буквально Linux-бокси з химерними корпусами. Це стандартні Linux-системи, які мають всю необхідну потужність, можливості та звичний інтерфейс».
Хакери звернулися до периферійних пристроїв, оскільки кінцеві точки стає все важче зламати – і тому, що вони часто не підлягають суворим вимогам до виявлення та реєстрації. І як тільки хакери проникають всередину периферійного пристрою, більшість з них не мають «жодних обмежень на спілкування з рештою мережевого середовища», – сказав Кузьма.
Fortinet та можливі російські актори
Після повномасштабного вторгнення Росії на територію України в лютому 2022 року компанія Fortinet оголосила про припинення своєї діяльності в Росії. У жовтні 2022 року Fortinet випустила патч для критичної вразливості обходу автентифікації. У листопаді 2022 року щонайменше один зловмисник, що діє на російському форумі в темному інтернеті, почав продавати доступ до кількох мереж, скомпрометованих цією вразливістю.
Пристрої Fortinet Edge знову під загрозою
