30/11/22
Исследователи безопасности из Cyble заметили, что брокеры начального доступа продают доступ к сетям, которые были скомпрометированы с помощью критической уязвимости в продуктах Fortinet. Брешь в защите отслеживается как CVE-2022-40684 и затрагивает FortiOS, FortiProxy и FortiSwitchManager.
Подробная информация об уязвимости (в том числе и PoC-эксплойт) стала доступна в начале октября, когда она уже активно использовалась хакерами.
CVE-2022-40684 позволяет хакеру обойти аутентификацию и использовать специально созданные HTTP или HTTPS-запросы для выполнения несанкционированных операций на административном интерфейсе устройства жертвы, поясняет Securitylab. По сути, уязвимость предоставляет злоумышленнику административный доступ к SSH на целевом устройстве, позволяя ему обновить или добавить открытый SSH-ключ к устройству и получить над ним полный контроль.
По данным Cyble, более 100 000 брандмауэров FortiGate могут стать мишенью киберпреступников, если не получат исправление. Исследователи Cyble говорит, что уже видели хакеров, предлагающих доступ к сетям, которые, вероятно, были взломаны с помощью CVE-2022-40684.
Проанализировав VPN-доступ к сети, который продавали злоумышленники, эксперты обнаружили, что хакеры пытались добавить свой собственный открытый ключ к учетной записи администратора. Как выяснилось позже, компания-жертва использовала устаревшую версию FortiOS, поэтому и оказалась взломана с помощью CVE-2022-40684.
Отмечается, что уязвимость затрагивает версии FortiOS с 7.0.0 по 7.0.6 и с 7.2.0 по 7.2.1, а также версии FortiProxy с 7.0.0 по 7.0.6 и 7.2.0. Однако исправление уже доступно и находится на сайте Fortinet . Но атаки не прекращаются и продолжаются с 17 октября, сообщает Cyble.
Напомним, что ранее специалисты заявляли о более чем 17 000 уязвимых устройств Fortinet. Тогда всплеск атак спровоцировала публикация PoC-эксплойта для уязвимости.
