Según los federales, los piratas informáticos probablemente estén explotando vulnerabilidades críticas de VPN de Fortinet

El FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad dijeron que es probable que los piratas informáticos avanzados exploten vulnerabilidades críticas en la VPN de Fortinet FortiOS para plantar una cabeza de puente y dañar a medianas y grandes empresas en ataques posteriores.

«Los actores de la APT pueden usar estas vulnerabilidades u otras técnicas de explotación comunes para obtener acceso inicial a varios servicios gubernamentales, comerciales y tecnológicos», dijeron las agencias en un informe conjunto el viernes. «El primer acceso permite a los actores de la APT llevar a cabo futuros ataques». APT es la abreviatura de Advanced Persistent Threat, un término que se usa para describir grupos de piratería bien organizados y bien financiados, muchos de los cuales cuentan con el apoyo de estados nacionales.

Romper la mota

Las VPN SSL de Fortinet FortiOS se utilizan principalmente en firewalls fronterizos que sellan las redes internas sensibles de la Internet pública. Dos de las tres vulnerabilidades parcheadas anteriormente, CVE-2018-13379 y CVE-2020-12812, son particularmente graves, ya que permiten a los piratas informáticos no autenticados robar credenciales y conectarse a VPN que aún no se han actualizado.

«Si las credenciales de VPN también se comparten con otros servicios internos (por ejemplo, Active Directory, LDAP o credenciales de inicio de sesión único similares), el atacante obtiene acceso inmediato a estos servicios con los permisos del usuario cuyas credenciales se utilizan, dijo James Renken, un Ingeniero de confiabilidad del sitio con el Grupo de Investigación de Seguridad de Internet. Renken es una de las dos personas a las que se les atribuye el descubrimiento de una tercera vulnerabilidad de FortiOS, CVE-2019-5591, que el viernes dijo que probablemente también fue explotada. «El atacante puede explorar la red, intentar explotar varios servicios internos, etc.»

Una de las vulnerabilidades más graves, CVE-2018-13379, fue encontrada y expuesta por los investigadores Orange Tsai y Meh Chang de la empresa de seguridad Devcore. Las diapositivas de una charla que dieron los investigadores en la Black Hat Security Conference en 2019 lo describen como «leer archivos al azar antes de autenticarse», lo que significa que el explotador puede leer bases de datos de contraseñas u otros archivos de interés.

Mientras tanto, la firma de seguridad Tenable dijo que CVE-2020-12812 podría hacer que un explotador omita la autenticación de dos factores e inicie sesión con éxito.

En un comunicado enviado por correo electrónico, Fortinet dijo:

La seguridad de nuestros clientes es nuestra máxima prioridad. CVE-2018-13379 es una vulnerabilidad antigua que se corrigió en mayo de 2019. Fortinet emitió inmediatamente uno Asesoramiento PSIRT y se comunicó varias veces directamente con los clientes y a través de publicaciones de blog de la empresa en Agosto de 2019 y Julio de 2020 Recomiendo encarecidamente actualizar. Después de la solución, no nos comunicamos consistentemente con los clientes hasta 2020. CVE-2019-5591 resuelto en julio de 2019 y CVE-2020-12812 resuelto en julio de 2020. Por favor visite nuestro sitio web para más información Blog y consulte inmediatamente el Consulta de mayo de 2019.Si los clientes no lo han hecho, les recomendamos que implementen los controles de actualización y daños de inmediato.

El FBI y CISA no proporcionaron detalles de la APT mencionada en la opinión conjunta. El aviso también se protege a sí mismo al decir que existe una «probabilidad» de que los actores de amenazas estén explotando activamente las vulnerabilidades.

Parchar las vulnerabilidades requiere que los administradores de TI realicen cambios en la configuración. Si una organización no usa una red con más de un dispositivo VPN, se produce un tiempo de inactividad. Si bien estas barreras suelen ser difíciles en entornos donde las VPN deben estar disponibles las 24 horas del día, los 7 días de la semana, el riesgo de involucrarse en ransomware o comprometer el espionaje es significativamente mayor.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí