Fortinet Cyber-Sicherheitsupdate schlägt fehl; Zero-Day von Bedrohungsakteuren ausgenutzt

Vor einer Woche veröffentlichte die Cyber-Sicherheitsfirma Fortinet ein Sicherheitsupdate, um eine schwerwiegende Sicherheitsanfälligkeit CVE-2022-41328 zu beheben, die es Bedrohungsakteuren ermöglichte, unautorisierte Befehle oder Code auszuführen.

Um das ins rechte Licht zu rücken: Einige anonyme Bedrohungsakteure nutzten eine Zero-Day-Sicherheitsanfälligkeit aus, um einen Fehler in FortiOS auszunutzen, der es den Angreifern ermöglichte, Regierungs- und große Organisationen ins Visier zu nehmen, was letztendlich zu Betriebssystem-, Dateibeschädigungen und Datenverlust führte.

FortiOS, wie der Name schon sagt, ist das Betriebssystem von Fortinet, das Unternehmen für ein Netzwerk-Sicherheitsbetriebssystem verwenden. Es bietet fortschrittlichen Bedrohungsschutz mit vereinheitlichtem Sicherheitszugang, Netzwerksicherheit und mehr.

Die Schwachstellenberatung erwähnte nicht den Fehler, den die Bedrohungsangreifer vor der Behebung ausnutzten. Obwohl ein Bericht, der von der Sicherheitsfirma veröffentlicht wurde, CVE-2022-41328 enthüllte, wurde der Fehler verwendet, um mehrere Fortinet FortiGate-Firewall-Geräte eines ihrer Kunden zurückzusetzen und zu demontieren.

“Eine unsachgemäße Einschränkung eines Pfades zu einem eingeschränkten Verzeichnis-Sicherheitsanfälligkeit (Path Traversal) [cve-22] in FortiOS kann es einem privilegierten Angreifer ermöglichen, beliebige Dateien über gestaltete CLI-Befehle zu lesen und zu schreiben”, erwähnt die Firma in ihrer Beratung.

Dies sind die kompromittierten Versionen von FortiOS 6.4.0 bis 6.4.11 und FortiOS 7.0.0 bis 7.0.9, Version 7.2.0 bis 7.2.3 und alle anderen Versionen von FortiOS 6.0 bis 6.2.

Lesen: Die Autofill-Funktion des Bitwarden Passwortmanagers anfällig für iframe-basierten Credential-Diebstahl

Um die Ausnutzung zu beheben, mussten die Administratoren die anfällige Sicherheitsfirmens ForniOS-Version 6.4.12 auf FortinetOS-Version 7.0.10 und später auf FortiOS-Version 7.2.4 und höher aktualisieren.

Die Sicherheitsfirma entdeckte es, nachdem das kompromittierte Gerät von Fortinet mit dem System in den Fehlerzustand eingetreten war, aufgrund der FIPS-Fehlermeldung: Fire integrity self-test failed und nicht mehr neu starten konnte.

Die Firma erwähnt, dass dies geschah, als das FIPS-aktivierte Gerät die Integrität der Systemkomponenten bestätigt und so konzipiert ist, dass es heruntergefahren wird und das Booten stoppt, um einen Netzwerkbruch zu blockieren, wenn eine Ausnutzung identifiziert wird.

Die Firewalls wurden über den FortiManager im Zielnetzwerk ausgenutzt, wobei festgestellt wurde, dass alle gleichzeitig gestoppt wurden, was bedeutet, dass sie mit denselben Taktiken gehackt wurden und die FortiGate-Pfadverlaufsausnutzung gleichzeitig mit Skripten, die über FortiManager ausgeführt wurden, gestartet wurde.

Nun, die folgende Untersuchung zeigte, dass die Angreifer das Firmware-Image des Geräts (/sbin/init) änderten, um ein Payload (/bin/fgfm) zu starten, bevor der Bootprozess begann.

Die Malware ermöglichte die Datenexfiltration, das Öffnen von Remote-Shells beim Empfang eines ICPM-Pakets, das die Zeichenfolge “;7(Zu9YTsA7qQ#vm” enthielt, oder das Herunterladen und Schreiben von Dateien.

Die Cyber-Sicherheitsfirma erwähnt, dass die Angriffe hochgradig zielgerichtet waren, mit dem Beweis, dass die Bedrohungsakteure Regierungsnetzwerke bevorzugten. Die Bedrohungsakteure zeigten fortgeschrittene Fähigkeiten, einschließlich der Rückentwicklung des Betriebssystems von Fortinets Geräten.

Die Angriffe waren hochgradig zielgerichtet, mit einigen Beweisen dafür, dass sie Regierungs- und regierungsbezogene Ziele bevorzugten, erwähnt Fortinet.

Die Ausnutzungen erfordern ein tiefes Verständnis von FortiOS und seiner Hardware. Die Untersuchung zeigt, dass die Angreifer fortgeschrittene Fähigkeiten in der Rückentwicklung vieler Teile des Betriebssystems der Sicherheitsfirma hatten. Den Fortinet-Kunden wird geraten, auf eine gepatchte Version zu aktualisieren, um mögliche Angriffsversuche zu blockieren.

Lesen: BidenCash-Leck: 2M+ Kredit-/Debitkarten mit persönlichen Informationen exponiert