Firma Cyble – Global Sensor Intelligence podczas monitorowania systemów odkryła, iż cyberprzestępcy mogą uzyskać nieautoryzowany dostęp do kilku sieci VPN firmy Fortinet. Wyciek informacji miał miejsce na rosyjskim forum poświęconym cyberprzestępczości.
Podczas oceny dostępu, inżynierowie zdali sobie sprawę, iż osoby, które próbują zaatakować dodają nowy klucz publiczny do konta administratora. Dalsze czynności sprawdzające wykazały, iż atakowane organizacje używały przestarzałego systemu FortiOS.
Oznacza to, iż atakujący może zarządzać obejściem uwierzytelniania, wykorzystując luki w kanale lub w alternatywnej ścieżce CVE-2022-40684 w systemie FortiOS. Luka zapewnia uwierzytelnienie i umożliwia atakującemu wykorzystanie interfejsu administratora.
Według danych dostarczonych przez Cyble opublikowanych 24 listopada ta luka dotyczy wielu wersji Fortinet, w tym FortiOS, FortiProxy, FortiSwitchManager. Podatność umożliwia atakującemu wykonywanie różnych akcji z poziomu administratora dzięki utworzonych żądań HTTPS lub HTTP.
Portal Hackread.com zauważa, iż na tym samym rosyjskim forum, oferuje się exploit Fortinet VPN. Cyberprzestępcy wykazali, iż istnieje ponad 400 000 “odsłoniętych” urządzeń.
Wersje Fortinet, które są zagrożone:
- Wersja FortiProxy 7.2.0
- FortiSwitchManager w wersji 7.2.0
- Wersja FortiSwitchManager 7.0.0
- FortiOS w wersji od 7.0.0 do 7.0.6
- FortiOS w wersji od 7.2.0 do 7.2.1
- FortiProxy w wersji od 7.0.0 do 7.0.6
Połączenie z Darknet
Według inżynierów Cyble istnieje ponad 100 tysięcy zapór sieciowych FortiGate, które znajdują się na celowniku cyberprzestępców i są podatne na wskazaną lukę. Biorąc pod uwagę ilość urządzeń, do których można uzyskać dostęp, luka została sklasyfikowana jako krytyczna.
Specjaliści Cyble podejrzewają, iż poufne dane systemowe – w tym informacje o konfiguracji i szczegóły sieci mogą być udostępniane przez Dark Web. Jest to spowodowane tym, iż osoba atakująca może dodać lub zaktualizować klucz publiczny do docelowego konta i uzyskać pełną kontrolę nad systemem.
Co więcej, atakujący może przeprowadzić dodatkowe ataki na pozostały ekosystem IT organizacji po uprzednim pozyskaniu informacji poprzez wykorzystanie tej podatności.
