Attacco ai dispositivi Fortinet: cyber criminali sfruttano l’ultime vulnerabilità di FortiOS
Corretta all’inizio di questo mese, una vulnerabilità di esecuzione del codice è l’ultima debolezza di FortiOS a essere sfruttata dagli aggressori, che vedono i dispositivi come bersagli ben posizionati per le operazioni di accesso iniziale.
All’inizio di marzo, un cliente ha chiamato il team di risposta agli incidenti di Fortinet quando più dispositivi di sicurezza FortiGate hanno smesso di funzionare, entrando in una modalità di errore dopo che il firmware non ha superato un autotest di integrità.
Si è trattato di un attacco informatico che ha portato alla scoperta dell’ultima vulnerabilità dei dispositivi Fortinet, un bug di media gravità ma altamente sfruttabile (CVE-2022-41328) che consente a un attaccante privilegiato di leggere e scrivere i file. Il gruppo di minacce, che Fortinet ha etichettato come “attore avanzato”, sembra aver preso di mira agenzie governative o organizzazioni legate al governo, ha dichiarato l’azienda in una recente analisi dell’attacco.
Tuttavia, l’incidente dimostra anche che gli aggressori stanno prestando molta attenzione ai dispositivi Fortinet. E la superficie di attacco è ampia: Finora quest’anno, a 60 vulnerabilità dei prodotti Fortinet sono state assegnate CVE e pubblicate nel National Vulnerability Database, il doppio del tasso di divulgazione delle falle nei dispositivi Fortinet nell’anno di picco precedente. Molte sono anche critiche: All’inizio di questo mese, Fortinet ha rivelato che una vulnerabilità critica di buffer underwrite in FortiOS e FortiProxy (CVE-2023-25610) potrebbe consentire a un aggressore remoto non autenticato di eseguire qualsiasi codice su una serie di dispositivi.
Rischio crescente per i dispositivi Fortinet e altri dispositivi edge di rete
Anche l’interesse è alto. A novembre, ad esempio, una società di sicurezza ha avvertito che un gruppo di criminali informatici stava vendendo l’accesso a dispositivi FortiOS compromessi su un forum del Dark Web russo. Ma il fatto che siano state le vulnerabilità a stimolare l’attenzione, o viceversa, è irrilevante, afferma David Maynor, senior director of threat intelligence di Cybrary, una società di formazione sulla sicurezza.
“Gli attaccanti sentono l’odore del sangue nell’acqua”, afferma. “Il numero e la frequenza delle vulnerabilità sfruttabili da remoto negli ultimi due anni sono aumentati a rotta di collo. Se c’è un gruppo di stati-nazione che non sta integrando gli exploit di Fortinet, sta facendo il passo più lungo della gamba”.
Come altri dispositivi di sicurezza di rete, i dispositivi Fortinet si trovano nel punto critico tra Internet e le reti o le applicazioni interne, il che li rende un obiettivo prezioso da compromettere per gli aggressori che cercano un punto d’appoggio nelle reti aziendali, ha dichiarato il team di ricerca della società di intelligence sulle minacce GreyNoise Research in un’intervista via e-mail a Dark Reading.
“La maggior parte dei dispositivi Fortinet sono dispositivi edge e, di conseguenza, sono comunemente rivolti verso Internet”, ha dichiarato il team. “Questo vale per tutti i dispositivi edge. Se un aggressore intende affrontare lo sforzo di una campagna di sfruttamento, il volume dei dispositivi edge costituisce un obiettivo prezioso”.
I ricercatori hanno anche avvertito che Fortinet non è probabilmente l’unico nel mirino degli aggressori.
“Tutti i dispositivi edge di qualsiasi fornitore presenteranno prima o poi delle vulnerabilità”, ha dichiarato GreyNoise Research.
come si è svolto l’attacco
Fortinet ha descritto in dettaglio l’attacco ai dispositivi dei suoi clienti nel suo avviso. Gli aggressori hanno sfruttato la vulnerabilità per modificare il firmware del dispositivo e aggiungere un nuovo file firmware. Gli aggressori hanno ottenuto l’accesso ai dispositivi FortiGate tramite il software FortiManager e hanno modificato lo script di avvio dei dispositivi per mantenere la persistenza.
Il firmware dannoso avrebbe potuto consentire l’esfiltrazione dei dati, la lettura e la scrittura di file o fornire all’aggressore una shell remota, a seconda del comando che il software riceveva dal server di comando e controllo (C2), ha dichiarato Fortinet. Sono stati modificati anche più di una mezza dozzina di altri file.
L’analisi dell’incidente, tuttavia, manca di diverse informazioni critiche, come il modo in cui gli aggressori hanno ottenuto l’accesso privilegiato al software FortiManager e la data dell’attacco, tra gli altri dettagli.
Contattata, l’azienda ha rilasciato una dichiarazione in risposta a una richiesta di intervista: “Il 7 marzo abbiamo pubblicato un advisory PSIRT (FG-IR-22-369) che illustra i passi successivi consigliati per quanto riguarda CVE-2022-41328, ha dichiarato l’azienda. “Come parte del nostro continuo impegno per la sicurezza dei nostri clienti, Fortinet ha condiviso ulteriori dettagli e analisi nel post sul blog del 9 marzo e continua a consigliare ai clienti di seguire le indicazioni fornite”.
Nel complesso, scoprendo e divulgando la vulnerabilità e pubblicando un’analisi della risposta all’incidente, Fortinet sta facendo le cose giuste, ha dichiarato il team di GreyNoise Research a Dark Reading.
“Hanno pubblicato un’analisi dettagliata due giorni dopo, comprendente un riepilogo esecutivo e un numero enorme di dettagli accurati sulla natura della vulnerabilità e sull’attività dell’attaccante, fornendo ai difensori informazioni utili”, ha dichiarato il team. “Fortinet ha scelto di comunicare in modo chiaro, tempestivo e accurato questa vulnerabilità”.
