06/09/19
Китайские киберпреступники нацелились на корпоративные VPN-серверы от Fortinet и Pulse Secure. Причиной тому стала публикация в свободном доступе информации об уязвимостях, обнаруженных в продуктах в августе нынешнего года, сообщает издание ZDNet.
Атаки осуществляются киберпреступной группировкой APT5 (Manganese), предположительно спонсируемой китайским правительством. Преступники атакуют и взламывают организации в разных отраслях, однако в первую очередь они уделяют внимание телекоммуникационным и технологическим компаниям и проявляют особый интерес к компаниям, занимающимся спутниковой связью. По словам исследователей из ИБ-компании FireEye, APT5 действует с 2007 года и «представляет собой большую группу преступников, состоящую из нескольких подгрупп с определенной тактикой и инфраструктурой».
Начиная с конца августа, одна из подгрупп APT5 создала инфраструктуру, посредством которой она проводила интернет-сканирование для поиска VPN-серверов Fortinet и Pulse Secure, предполагают исследователи. Затем преступники попытались проэксплуатировать уязвимости в VPN-серверах. Обе уязвимости ( CVE-2018-13379 в Fortinet и CVE-2019-11510 в Pulse Secure) связаны с «предварительным считыванием файлов». Их эксплуатация позволяет неавторизованному злоумышленнику извлекать файлы с VPN-сервера.
Уязвимости в продуктах Fortinet и Pulse Secure были обнаружены в начале этого года исследователями из компании Devcore. Обоих поставщиков проинформировали о проблемах в марте, и уязвимости были исправлены. Pulse Secure выпустила патч в апреле, а Fortinet — в мае. По словам исследователей, на 14,5 тыс. из 42 тыс. VPN-серверов Pulse Secure по-прежнему установлена уязвимая версия ПО.
