Χάκερς εκμεταλλεύονται την ευπάθεια CVE-2018-13379 σε VPN της Fortinet για να αναπτύξουν το νεοανακαλυφθέν Cring ransomware (γνωστό και ως Crypt3r, Vjiszy1lo, Ghost, Phantom), σε οργανισμούς του βιομηχανικού τομέα. Η CVE-2018-13379 είναι μια path traversal ευπάθεια στο FortiOS SSL VPN web portal, η οποία θα μπορούσε να εκμεταλλευτεί από έναν μη εξουσιοδοτημένο εισβολέα για τη λήψη αρχείων συστήματος FortiOS μέσω crafted HTTP resource requests.
Το Cring ransomware εμφανίστηκε στο τοπίο απειλών τον Ιανουάριο, ενώ αναφέρθηκε για πρώτη φορά από τον Amigo_A και την ομάδα CSIRT της Swisscom. Το εν λόγω ransomware κρυπτογραφεί δεδομένα από τα θύματα με AES-256 + RSA-8192 και στη συνέχεια απαιτεί λύτρα 2 BTC, για την επιστροφή των αρχείων.
Διαβάστε επίσης: Περίπου 80.000 Exchange servers περιέχουν εκμεταλλεύσιμες ευπάθειες!
Η Kaspersky ανέφερε σε σχετική της ανάρτηση τα ακόλουθα: «Μια έρευνα που πραγματοποιήθηκε από εμπειρογνώμονες της Kaspersky ICS CERT σε μία από τις επιχειρήσεις που υπέστησαν επίθεση, αποκάλυψε ότι οι επιθέσεις του Cring ransomware εκμεταλλεύονται μια ευπάθεια στους VPN servers της Fortigate. Στα θύματα αυτών των επιθέσεων περιλαμβάνονται βιομηχανικές επιχειρήσεις σε ευρωπαϊκές χώρες. Τουλάχιστον σε μία περίπτωση, επίθεση του ransomware είχε ως αποτέλεσμα τον προσωρινό τερματισμό της βιομηχανικής διαδικασίας, λόγω του γεγονότος ότι είχαν κρυπτογραφηθεί οι servers που χρησιμοποιούνταν για τον έλεγχο της βιομηχανικής διαδικασίας.»
Αφότου απέκτησαν πρόσβαση σε ένα σύστημα εντός του στοχευόμενου δικτύου, οι επιτιθέμενοι κατέβασαν το βοηθητικό πρόγραμμα Mimikatz για να κλέψουν τα credentials των χρηστών Windows που συνδέονταν στο παραβιασμένο σύστημα.
Με την παραβίαση του domain administrator account, οι κακόβουλοι παράγοντες θα μπορούσαν να διανείμουν το malware και σε άλλα συστήματα που βρίσκονται εντός του στοχοποιημένου δικτύου. Οι επιτιθέμενοι χρησιμοποίησαν επίσης το Cobalt Strike post-exploitation framework για να αναπτύξουν το ransomware.
Δείτε ακόμη: Φορητό VPN προστατεύει τα διαδικτυακά σας δεδομένα
Σε μια περίπτωση, η «μόλυνση» των servers – που χρησιμοποιούνταν για τον έλεγχο της βιομηχανικής διαδικασίας – με ransomware, προκάλεσε τον προσωρινό τερματισμό της διαδικασίας.
Σύμφωνα με τη ρωσική εταιρεία κυβερνοασφάλειας, οι κύριες αιτίες του συμβάντος ήταν η χρήση μιας παλιάς και ευάλωτης έκδοσης firmware στον Fortigate VPN server (τη στιγμή της επίθεσης χρησιμοποιούταν η έκδοση 6.0.2), η οποία επέτρεψε στους εισβολείς να εκμεταλλευτούν την ευπάθεια CVE-2018-13379 και να αποκτήσουν πρόσβαση στο δίκτυο της εταιρείας.
Επιπλέον, η Kaspersky υπογράμμισε τα εξής: «Η έλλειψη έγκαιρων antivirus database updates στη λύση ασφαλείας που χρησιμοποιείται σε συστήματα που δέχονται επιθέσεις, διαδραμάτισε επίσης σημαντικό ρόλο, εμποδίζοντας τη λύση να εντοπίσει και να μπλοκάρει την απειλή. Πρέπει επίσης να σημειωθεί ότι ορισμένα components της antivirus λύσης απενεργοποιήθηκαν, μειώνοντας έτσι περαιτέρω την ποιότητα της προστασίας. Άλλοι παράγοντες που συνέβαλαν στο συμβάν ήταν οι ρυθμίσεις δικαιωμάτων λογαριασμού χρήστη που έχουν διαμορφωθεί στις πολιτικές domain και οι παράμετροι της πρόσβασης RDP.»
Στην έκθεσή της, η Kaspersky μοιράστηκε και τους δείκτες συμβιβασμού.
Πρόταση: FBI/CISA: Προσοχή! APT χάκερς στοχεύουν Fortinet FortiOS servers
Στις αρχές Απριλίου, το FBI και η CISA εξέδωσαν κοινή προειδοποίηση για επιθέσεις που πραγματοποιούνται από APT ομάδες με στόχο Fortinet FortiOS servers, με τη χρήση πολλαπλών exploits.
Οι απειλητικοί παράγοντες εκμεταλλεύονται ενεργά στο Fortinet FortiOS τις ευπάθειες CVE-2018-13379, CVE-2020-12812 και CVE-2019-5591.
Πηγή πληροφοριών: securityaffairs.co
