ΑρχικήsecurityFortinet: FortiOS bug χρησιμοποιείται για επιθέσεις σε κυβερνήσεις

Fortinet: FortiOS bug χρησιμοποιείται για επιθέσεις σε κυβερνήσεις

Εγκληματίες του κυβερνοχώρου έχουν αρχίσει να εκμεταλλεύονται ένα πρόσφατα επιδιορθωμένο bug του FortiOS χρησιμοποιώντας zero-day exploits, για να στοχεύσουν κυβερνήσεις και μεγάλες εταιρείες. Οι επιθέσεις οδηγούν στην καταστροφή λειτουργικών συστημάτων, καθώς και σε καταστροφή αρχείων και απώλεια δεδομένων. Στις 7 Μαρτίου 2023, η Fortinet κυκλοφόρησε ενημερώσεις ασφαλείας για τη διόρθωση της κρίσιμης ευπάθειας (CVE-2022-41328), η οποία επέτρεψε σε κακόβουλους φορείς να εκτελέσουν επικίνδυνο κώδικα ή εντολές χωρίς εξουσιοδότηση.

Fortinet

Η Fortinet εξηγεί στο security advisory πώς λειτουργεί η ευπάθεια.

Δείτε επίσης: NordVPN Meshnet: Προσφέρεται τώρα δωρεάν σε όλους!

Τα προϊόντα που επηρεάζονται περιλαμβάνουν:

  • FortiOS version 6.4.0 έως 6.4.11
  • FortiOS version 7.0.0 έως 7.0.9
  • FortiOS version 7.2.0 έως 7.2.3
  • Όλες οι εκδόσεις FortiOS 6.0 και 6.2

Για να διορθώσουν την ευπάθεια ασφαλείας, οι διαχειριστές πρέπει να αναβαθμίσουν τα ευάλωτα προϊόντα τους στην έκδοση FortiOS 6.4.12 και νεότερη, στην έκδοση FortiOS 7.0.10 και ανώτερη, ή στην έκδοση FortiOS 7.2.4 και ανώτερη!

Αρχικά, δεν είχαν αναφερθεί επιθέσεις που εκμεταλλεύονται την ευπάθεια, πριν από την κυκλοφορία των ενημερώσεων κώδικα. Ωστόσο, μια αναφορά της Fortinet που δημοσιεύθηκε την περασμένη εβδομάδα αποκάλυψε ότι exploits για την ευπάθεια CVE-2022-41328 είχαν χρησιμοποιηθεί από κυβερνοεγκληματίες για την παραβίαση και την κατάργηση FortiGate firewall συσκευών που ανήκουν σε έναν πελάτη.

Malware για κλοπή δεδομένων

Η επίθεση ανακαλύφθηκε μετά τον τερματισμό λειτουργίας παραβιασμένων συσκευών Fortigate με μηνύματα “System enters error-mode due to FIPS error: Firmware Integrity self-test failed” και αδυναμία εκκίνησης.

Δείτε επίσης: Η HACLA ενημερώνει ότι μετά την Lockbit ransomware επίθεση, διέρρευσαν data

Η Fortinet λέει ότι αυτό συμβαίνει επειδή οι συσκευές με δυνατότητα FIPS επαληθεύουν το system components’ integrity και έχουν ρυθμιστεί ώστε να τερματίζουν αυτόματα και να διακόπτουν την εκκίνηση για να αποκλείουν μια παραβίαση δικτύου εάν εντοπιστεί παραβίαση.

Αυτά τα Fortigate firewalls παραβιάστηκαν μέσω μιας συσκευής FortiManager στο δίκτυο του θύματος, και όλα τους σταμάτησαν ταυτόχρονα.

Η έρευνα που ακολούθησε έδειξε ότι οι εισβολείς τροποποίησαν το firmware image της συσκευής (/sbin/init) για να εκκινήσουν ένα payload (/bin/fgfm) πριν ξεκινήσει η διαδικασία εκκίνησης.

Το malware που χρησιμοποιείται, επιτρέπει την κλοπή δεδομένων, τη λήψη και εγγραφή αρχείων ή το άνοιγμα remote shells κατά τη λήψη ενός ICMP packet που περιέχει τη συμβολοσειρά “;7(Zu9YTsA7qQ#vm”.

FortiOS

Χρήση zero-day για επίθεση σε κυβερνητικά δίκτυα

Η Fortinet κατέληξε στο συμπέρασμα ότι οι επιθέσεις ήταν ιδιαίτερα στοχευμένες. Βασικός στόχος ήταν τα κυβερνητικά δίκτυα και οι επιτιθέμενοι φαίνεται πως έχουν αρκετές δυνατότητες.

Το exploit απαιτεί βαθιά κατανόηση του FortiOS και του υποκείμενου hardware. Τα custom implants δείχνουν ότι ο επιτιθέμενος διαθέτει προηγμένες δυνατότητες, συμπεριλαμβανομένης της δυνατότητας reverse-engineering διαφόρων τμημάτων του FortiOS“.

Δείτε επίσης: Το studio Stalker 2 ισχυρίζεται ότι έχει χακαριστεί από Ρώσους

Οι πελάτες της Fortinet πρέπει να εφαρμόσουν αμέσως μια ενημερωμένη έκδοση του FortiOS για να αποκλείσουν πιθανές απόπειρες επίθεσης.

Οι ευπάθειές που εντοπίζονται σε συσκευές και προγράμματα μπορεί να αποτελέσουν πραγματική απειλή στον σύγχρονο ψηφιακό κόσμο. Είναι σημαντικό για όλους – από τους αρχάριους της τεχνολογίας μέχρι τους έμπειρους χρήστες – να κατανοήσουν τα βασικά στοιχεία των ευπαθειών και να γνωρίζουν πώς να προστατεύονται από αυτές. Με την εφαρμογή των κατάλληλων μέτρων ασφαλείας και την επίγνωση των πιθανών απειλών, μπορείτε να διατηρήσετε τη συσκευή σας (και όλες τις πληροφορίες της) ασφαλή!

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS