Το FBI και η CISA εξέδωσαν κοινή προειδοποίηση για επιθέσεις που διενεργούνται από APT χάκερς στοχεύοντας Fortinet FortiOS servers, με την χρήση πολλαπλών exploits. Οι κακόβουλοι παράγοντες εκμεταλλεύονται ενεργά σε Fortinet FortiOS servers τις ευπάθειες CVE-2018-13379, CVE-2020-12812 και CVE-2019-5591.
Η προειδοποίηση του FBI και της CISA αναφέρει τα ακόλουθα:
«Τον Μάρτιο του 2021, το FBI και η CISA παρατήρησαν ότι APT χάκερς σαρώνουν συσκευές στις θύρες 4443, 8443 και 10443 για την ευπάθεια CVE-2018-13379, και αριθμημένες συσκευές για τις ευπάθειες CVE-2020-12812 και CVE-2019-5591. Είναι πιθανό οι κακόβουλοι παράγοντες να αναζητούν αυτές τις ευπάθειες για να αποκτήσουν πρόσβαση σε δίκτυα κυβερνητικών, εμπορικών και τεχνολογικών υπηρεσιών.»
Διαβάστε επίσης: Περίπου 80.000 Exchange servers περιέχουν εκμεταλλεύσιμες ευπάθειες!
Οι δύο υπηρεσίες προειδοποιούν ότι οι APT χάκερς ενδέχεται να χρησιμοποιούν οποιαδήποτε ή και όλες τις παραπάνω ευπάθειες για να αποκτήσουν πρόσβαση σε δίκτυα και κρίσιμες υποδομές πολλών κλάδων. Μόλις αποκτήσουν πρόσβαση στα δίκτυα-στόχους, οι επιτιθέμενοι μπορούν να προετοιμάσουν το έδαφος για μελλοντικές κακόβουλες δραστηριότητες, όπως η κλοπή δεδομένων ή επιθέσεις κρυπτογράφησης δεδομένων. Επιπλέον, οι χάκερς μπορούν να χρησιμοποιήσουν άλλες ευπάθειες ή κοινές τεχνικές εκμετάλλευσης – όπως το spear phishing – για να αποκτήσουν πρόσβαση σε κρίσιμα δίκτυα υποδομής για επακόλουθες επιθέσεις.
Δείτε ακόμη: Φορητό VPN προστατεύει τα διαδικτυακά σας δεδομένα
Η προειδοποίηση περιλαμβάνει επίσης μέτρα μετριασμού για την διασφάλιση των συστημάτων από συνεχιζόμενες επιθέσεις που εκμεταλλεύονται τις εν λόγω ευπάθειες:
- Επιδιορθώστε αμέσως τις ευπάθειες CVE 2018-13379, 2020-12812 και 2019-5591.
- Εάν το FortiOS δεν χρησιμοποιείται από τον οργανισμό σας, προσθέστε key artifact files που χρησιμοποιούνται από το FortiOS στη λίστα άρνησης εκτέλεσης του οργανισμού σας. Πρέπει να αποφευχθούν τυχόν προσπάθειες εγκατάστασης ή εκτέλεσης αυτού του προγράμματος και των σχετικών αρχείων του.
- Να δημιουργείτε τακτικά αντίγραφα ασφαλείας και να εφαρμόζετε προστασία με κωδικό πρόσβασης σε αντίγραφα ασφαλείας offline. Βεβαιωθείτε ότι τα αντίγραφα κρίσιμων δεδομένων δεν είναι προσβάσιμα για τροποποίηση ή διαγραφή από το πρωτεύον σύστημα όπου βρίσκονται τα δεδομένα.
- Εφαρμόστε τμηματοποίηση δικτύου.
- Απαιτήστε credentials διαχειριστή για την εγκατάσταση software.
- Εφαρμόστε ένα πρόγραμμα ανάκτησης για την επαναφορά ευαίσθητων ή ιδιόκτητων δεδομένων από μια φυσικά ξεχωριστή, τμηματοποιημένη, ασφαλή τοποθεσία (π.χ. σκληρός δίσκος, συσκευή αποθήκευσης, το cloud).
- Να εφαρμόζετε updates/patches σε λειτουργικά συστήματα, software και firmware αμέσως μόλις κυκλοφορούν.
- Χρησιμοποιήστε έλεγχο ταυτότητας πολλών παραγόντων (MFA) όπου είναι δυνατόν.
- Να αλλάζετε τακτικά κωδικούς πρόσβασης σε συστήματα δικτύου και λογαριασμούς και να αποφεύγετε την επαναχρησιμοποίηση κωδικών πρόσβασης σε διαφορετικούς λογαριασμούς. Εφαρμόστε το συντομότερο αποδεκτό χρονικό πλαίσιο για αλλαγές κωδικού πρόσβασης.
- Απενεργοποιήστε τις θύρες απομακρυσμένης πρόσβασης / πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP) και παρακολουθήστε αρχεία καταγραφής απομακρυσμένης πρόσβασης / RDP.
- Ελέγξτε τους λογαριασμούς χρηστών με δικαιώματα διαχειριστή και διαμορφώστε τα στοιχεία ελέγχου πρόσβασης λαμβάνοντας υπόψη το λιγότερο προνόμιο.
- Να εγκαταστήσετε και να ενημερώνετε τακτικά software προστασίας από ιούς και malware σε όλους τους κεντρικούς υπολογιστές.
- Εξετάστε το ενδεχόμενο να προσθέσετε email banner σε emails που λαμβάνονται εκτός του οργανισμού σας.
- Απενεργοποιήστε τα hyperlinks στα ληφθέντα emails.
- Εστιάστε στην ευαισθητοποίηση και την εκπαίδευση. Να παρέχετε στους χρήστες εκπαίδευση σχετικά με τις αρχές και τις τεχνικές ασφάλειας πληροφοριών, ιδίως για την αναγνώριση και αποφυγή phishing emails.
Αυτή δεν είναι η πρώτη φορά που το FBI και η CISA εκδίδουν κοινή συμβουλευτική ασφαλείας για επιθέσεις που εκμεταλλεύονται ευπάθειες σε συστήματα της Fortinet. Τον Οκτώβριο του 2020, οι αμερικανικές υπηρεσίες προειδοποίησαν ότι APT χάκερς εκμεταλλεύονταν ευπάθειες σε προϊόντα VPN (Fortinet, Pulse Secure) και το Windows ZeroLogon σε επιθέσεις που είχαν ως στόχο τόσο κυβερνητικά δίκτυα και υπηρεσίες όσο και μη κυβερνητικά δίκτυα.
Πρόταση: Η ομάδα Cicada εκμεταλλεύεται το ZeroLogon στις νέες της επιθέσεις
Το FBI και η CISA παρατήρησαν επίσης επιθέσεις που πραγματοποιήθηκαν από APT χάκερς με την εκμετάλλευση δύο ευπαθειών – της CVE-2018-13379 και της CVE-2020-1472.
Πηγή πληροφοριών: securityaffairs.co
