Обновление кибербезопасности Fortinet провалилось; нулевой день использован злоумышленниками

Неделю назад компания по кибербезопасности Fortinet выпустила обновление безопасности для исправления уязвимости высокой степени серьезности CVE-2022-41328, позволяющей злоумышленникам выполнять несанкционированные команды или код.

Чтобы проиллюстрировать ситуацию, некоторые анонимные злоумышленники использовали уязвимость нулевого дня для эксплуатации ошибки в FortiOS, что позволило атакующим нацелиться на государственные и крупные организации, в конечном итоге приведя к повреждению ОС, файлов и потере данных.

FortiOS, как следует из названия, является операционной системой Fortinet, используемой предприятиями для сетевой безопасности. Она предоставляет расширенную защиту от угроз с объединенным доступом к безопасности, сетевой безопасности и многому другому.

В уведомлении об уязвимости не упоминалась ошибка, которую злоумышленники использовали до исправления. Хотя отчет, опубликованный компанией по безопасности, раскрыл CVE-2022-41328, эта уязвимость была использована для взлома и разрушения нескольких устройств межсетевого экрана Fortinet FortiGate одного из ее клиентов.

“Неправильное ограничение пути к ограниченной директории (путевое пересечение) [cve-22] в FortiOS может позволить привилегированному атакующему читать и записывать произвольные файлы с помощью специально подготовленных CLI-команд,” - упоминает компания в своем уведомлении.

Это затронутые версии FortiOS 6.4.0 до 6.4.11 и FortiOS 7.0.0 до 7.0.9, версия 7.2.0 до 7.2.3 и все другие версии FortiOS 6.0 до 6.2.

Читать: Уязвимость функции автозаполнения менеджера паролей Bitwarden к кражам учетных данных на основе iframe

Чтобы исправить уязвимость, администраторам пришлось обновить уязвимую версию FortiOS 6.4.12 до версии FortinetOS 7.0.10 и выше до FortiOS версии 7.2.4 и выше.

Компания по безопасности обнаружила это после того, как скомпрометированное устройство Fortinet отключилось, и система вошла в режим ошибки из-за сообщения об ошибке FIPS: “Неудача самопроверки целостности системы” и не смогла перезапуститься.

Компания упоминает, что это произошло, поскольку устройство с поддержкой FIPS подтверждает целостность компонентов системы и предназначено для отключения и остановки загрузки, чтобы заблокировать сетевое нарушение, если обнаружена уязвимость.

Межсетевые экраны были использованы через FortiManager в целевой сети, при этом все они были остановлены одновременно, что означает, что они были взломаны с использованием одних и тех же тактик, и уязвимость путевого пересечения FortiGate была запущена одновременно с выполнением скриптов через FortiManager.

Следующее расследование показало, что злоумышленники изменили образ прошивки устройства (/sbin/init), чтобы запустить полезную нагрузку (/bin/fgfm) до начала процесса загрузки.

Вредоносное ПО позволяло экстракцию данных, открывая удаленные оболочки при получении пакета ICPM, содержащего строку “;7(Zu9YTsA7qQ#vm” или загружая и записывая файлы.

Компания по кибербезопасности упоминает, что атаки были высоко целенаправленными с доказательством того, что злоумышленники предпочитали государственные сети. Злоумышленники продемонстрировали продвинутые возможности, включая реверс-инжиниринг операционной системы устройства Fortinet.

Атаки были высоко целенаправленными, с некоторыми доказательствами этого, предпочитающими государственные и связанные с правительством цели, упоминает Fortinet.

Уязвимости требуют глубокого понимания FortiOS и его аппаратного обеспечения. Расследование показывает, что злоумышленники имели продвинутые возможности реверс-инжиниринга многих частей ОС компании по безопасности. Клиентам Fortinet рекомендуется обновиться до исправленной версии, чтобы заблокировать возможные попытки атак.

Читать: Утечка BidenCash: более 2 миллионов кредитных/дебетовых карт с личной информацией под угрозой