Специалисты компании Cyble обнаружили, что критическая уязвимость CVE-2022-40684 в продуктах Fortinet активно используется злоумышленниками не только для взлома корпоративных сетей, но и для последующей перепродажи полученного доступа. Под угрозой оказались FortiOS, FortiProxy и FortiSwitchManager.
В чём суть уязвимости
Проблема кроется в механизме, который проверяет, обращается ли устройство к функциональности REST API. Используя недостатки этой проверки, атакующий получает возможность обойти контроль доступа. Уязвимость была публично раскрыта в начале октября 2022 года, однако, по данным исследователей, злоумышленники начали эксплуатировать её ещё до официального раскрытия.
Ключевой способ закрепления в системе — добавление или подмена действительного публичного SSH-ключа для одной из учётных записей устройства. Это даёт атакующему полный контроль над скомпрометированной системой и плацдарм для дальнейших атак на остальную IT-инфраструктуру компании.
По данным одного из онлайн-сканеров, более 100 тысяч межсетевых экранов FortiGate доступны напрямую из интернета — а значит, потенциально уязвимы.
Что могут сделать злоумышленники
Получив контроль над устройством через эту уязвимость, атакующие способны:
- изменить SSH-ключи административных учётных записей, закрепив за собой доступ;
- добавить новых пользователей локально;
- перенаправить сетевой трафик, изменив настройки маршрутизации;
- скачать конфигурацию системы;
- перехватывать пакеты трафика и получать другую чувствительную информацию.
Полученные данные — сведения о системе, её конфигурации и параметрах сети — впоследствии могут распространяться на теневых форумах.
Какие версии под ударом
Уязвимости подвержены следующие версии продуктов Fortinet:
- FortiOS 7.2.0–7.2.1
- FortiOS 7.0.0–7.0.6
- FortiProxy 7.2.0
- FortiProxy 7.0.0–7.0.6
- FortiSwitchManager 7.2.0
- FortiSwitchManager 7.0.0
Доступ уже продают на форумах
Исследователи Cyble, регулярно отслеживающие один из русскоязычных киберпреступных форумов, зафиксировали, что злоумышленник распространял несанкционированный доступ к VPN Fortinet. Как выяснилось, у пострадавшей организации использовалась устаревшая версия FortiOS — именно она и стала точкой входа для атаки.
Рекомендации специалистов
Эксперты советуют компаниям, использующим продукты Fortinet:
- незамедлительно установить актуальные патчи от вендора;
- грамотно сегментировать сеть и внедрить соответствующие меры безопасности;
- корректно настроить и своевременно обновлять межсетевые экраны;
- вести постоянный мониторинг и журналирование сетевой активности для раннего выявления аномалий;
- выстроить прозрачное управление доступом внутри IT-инфраструктуры;
- регулярно проводить аудит, тестирование на проникновение и поиск уязвимостей;
- обеспечить надёжные процессы резервного копирования, архивирования и восстановления данных;
- проводить для сотрудников обучение по основам кибербезопасности.
Источник: Cybersecurity News.