Хакеры продают доступ к корпоративным сетям через уязвимость в Fortinet

Специалисты компании Cyble обнаружили, что критическая уязвимость CVE-2022-40684 в продуктах Fortinet активно используется злоумышленниками не только для взлома корпоративных сетей, но и для последующей перепродажи полученного доступа. Под угрозой оказались FortiOS, FortiProxy и FortiSwitchManager.

В чём суть уязвимости

Проблема кроется в механизме, который проверяет, обращается ли устройство к функциональности REST API. Используя недостатки этой проверки, атакующий получает возможность обойти контроль доступа. Уязвимость была публично раскрыта в начале октября 2022 года, однако, по данным исследователей, злоумышленники начали эксплуатировать её ещё до официального раскрытия.

Ключевой способ закрепления в системе — добавление или подмена действительного публичного SSH-ключа для одной из учётных записей устройства. Это даёт атакующему полный контроль над скомпрометированной системой и плацдарм для дальнейших атак на остальную IT-инфраструктуру компании.

По данным одного из онлайн-сканеров, более 100 тысяч межсетевых экранов FortiGate доступны напрямую из интернета — а значит, потенциально уязвимы.

Что могут сделать злоумышленники

Получив контроль над устройством через эту уязвимость, атакующие способны:

  • изменить SSH-ключи административных учётных записей, закрепив за собой доступ;
  • добавить новых пользователей локально;
  • перенаправить сетевой трафик, изменив настройки маршрутизации;
  • скачать конфигурацию системы;
  • перехватывать пакеты трафика и получать другую чувствительную информацию.

Полученные данные — сведения о системе, её конфигурации и параметрах сети — впоследствии могут распространяться на теневых форумах.

Какие версии под ударом

Уязвимости подвержены следующие версии продуктов Fortinet:

  • FortiOS 7.2.0–7.2.1
  • FortiOS 7.0.0–7.0.6
  • FortiProxy 7.2.0
  • FortiProxy 7.0.0–7.0.6
  • FortiSwitchManager 7.2.0
  • FortiSwitchManager 7.0.0

Доступ уже продают на форумах

Исследователи Cyble, регулярно отслеживающие один из русскоязычных киберпреступных форумов, зафиксировали, что злоумышленник распространял несанкционированный доступ к VPN Fortinet. Как выяснилось, у пострадавшей организации использовалась устаревшая версия FortiOS — именно она и стала точкой входа для атаки.

Рекомендации специалистов

Эксперты советуют компаниям, использующим продукты Fortinet:

  • незамедлительно установить актуальные патчи от вендора;
  • грамотно сегментировать сеть и внедрить соответствующие меры безопасности;
  • корректно настроить и своевременно обновлять межсетевые экраны;
  • вести постоянный мониторинг и журналирование сетевой активности для раннего выявления аномалий;
  • выстроить прозрачное управление доступом внутри IT-инфраструктуры;
  • регулярно проводить аудит, тестирование на проникновение и поиск уязвимостей;
  • обеспечить надёжные процессы резервного копирования, архивирования и восстановления данных;
  • проводить для сотрудников обучение по основам кибербезопасности.

Источник: Cybersecurity News.