06/04/21
Агентство кибербезопасности и защиты инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) и ФБР сообщили, что высококвалифицированные хакеры могут эксплуатировать уязвимости в Fortinet FortiOS VPN в попытке атаковать компании среднего и крупного бизнеса.
«APT-группы могут использовать эти уязвимости и другие распространенные техники для получения первоначального доступа к многочисленным правительственным, коммерческим и технологическим сервисам. Получение первоначального доступа позволяет APT-группам осуществлять дальнейшие атаки», - сообщается в совместном уведомлении ФБР и CISA.
Fortinet FortiOS SSL VPN используется преимущественно в межсетевых экранах, защищающих чувствительные внутренние сети от публичного интернета. Две ( CVE-2018-13379 и CVE-2020-12812 ) из трех (третья уязвимость CVE-2019-5591 ) указанных в уведомлении и уже исправленных уязвимостей особенно опасны, поскольку позволяют неавторизованному злоумышленнику похищать учетные данные и подключаться к уязвимым установкам VPN.
Если учетные данные VPN используются также другими внутренними сервисами (т.е. Active Directory, LDAP), то атакующий незамедлительно получит доступ к этим сервисам с привилегиями пользователя, чьи учетные данные были похищены. Затем он может исследовать сеть в поисках уязвимостей в различных внутренних сервисах.
В уведомлении ФБР и CISA не указано, о каких APT-группах идет речь. Кроме того, в уведомлении говорится лишь о «вероятной» эксплуатации вышеупомянутых уязвимостей.
Устранение уязвимостей требует от IT-администраторов внесения изменений в конфигурацию, и, если организация не использует сеть с более чем одним VPN-устройством, возникнет простой. Хотя это может стать настоящей проблемой в средах, где требуется круглосуточная доступность VPN, возможные атаки вымогательского или шпионского ПО могут причинить гораздо больший ущерб, чем простой.
