Αυτός ο ιστότοπος χρησιμοποιεί cookie ώστε να μπορούμε να σας παρέχουμε την καλύτερη δυνατή εμπειρία χρήστη. Οι πληροφορίες cookie αποθηκεύονται στο πρόγραμμα περιήγησης σας και εκτελούν λειτουργίες όπως η ανάγνωση σας όταν επιστρέφετε στον ιστότοπο μας και η βοήθεια της ομάδας μας να κατανοήσει ποιες ενότητες του ιστοτόπου θεωρείτε πιο ενδιαφέρουσες και χρήσιμες.
LATEST
Fortinet: Πού οφείλονται οι πρόσφατες κυβερνοεπιθέσεις σε κυβερνητικά δίκτυα
Η Fortinet ανακοίνωσε πως άγνωστοι εισβολείς εκμεταλλεύτηκαν μια ευπάθεια FortiOS SSL-VPN zero-day, η οποία όμως επιδιορθώθηκε τους περασμένους μήνες, σε επιθέσεις εναντίον κυβερνητικών οργανισμών και παρεμφερών στόχων.
Το ελάττωμα ασφαλείας (CVE-2022-42475) που ευθύνεται για αυτά τα περιστατικά είναι μια αδυναμία υπερχείλισης buffer που εντοπίστηκε στο FortiOS SSLVPNd και επέτρεπε σε μη επιβεβαιωμένους εισβολείς να διακόψουν στοχευμένες συσκευές εξ αποστάσεως ή να αποκτήσουν απομακρυσμένη άδεια για εκτέλεση κώδικα.
Η εταιρεία ασφάλειας δικτύων προέτρεψε τους πελάτες στα μέσα Δεκεμβρίου να επιδιορθώσουν τις συσκευές τους έναντι των επιθέσεων αυτών, αφού διόρθωσαν αθόρυβα το σφάλμα στις 28 Νοεμβρίου στο FortiOS 7.2.3 (και χωρίς να γνωστοποιήσουν πληροφορίες ότι ήταν μηδενική ημέρα).
Οι πελάτες ειδοποιήθηκαν ιδιωτικά για αυτό το ζήτημα στις 7 Δεκεμβρίου μέσω μιας συμβουλής TLP:Amber. Περισσότερες πληροφορίες κυκλοφόρησαν δημόσια στις 12 Δεκεμβρίου, συμπεριλαμβανομένης μιας προειδοποίησης ότι το σφάλμα έπεφτε «θύμα εκμετάλλευσης» ενεργά σε επιθέσεις.
Πρόσφατα, η Fortinet δημοσίευσε μια έκθεση παρακολούθησης που αποκαλύπτει ότι οι επιτιθέμενοι χρησιμοποιούσαν εκμεταλλεύσεις CVE-2022-42475 για να υπονομεύσουν τις συσκευές FortiOS SSL-VPN για να αναπτύξουν κακόβουλο λογισμικό που αναπτύσσεται ως trojanized έκδοση του IPS Engine. Η εταιρεία είπε ότι οι επιθέσεις του δράστη απειλών ήταν εξαιρετικά στοχευμένες, με στοιχεία που βρέθηκαν κατά τη διάρκεια της ανάλυσης που δείχνουν πως βασικός τους στόχος ήταν τα κυβερνητικά δίκτυα.
«Η πολυπλοκότητα του exploit υποδηλώνει έναν προηγμένο παράγοντα και στοχεύει σε μεγάλο βαθμό σε κυβερνητικούς στόχους», δήλωσε η Fortinet.
Οι εισβολείς επικεντρώθηκαν σε μεγάλο βαθμό στη διατήρηση της επιμονής και στην αποφυγή ανίχνευσης, χρησιμοποιώντας την ευπάθεια για την εγκατάσταση κακόβουλου λογισμικού που διορθώνει τις διαδικασίες καταγραφής του FortiOS, έτσι ώστε να μπορούν να αφαιρεθούν συγκεκριμένες εγγραφές καταγραφής ή ακόμη και να σκοτώσουν τις διαδικασίες καταγραφής, εάν είναι απαραίτητο.
Πρόσθετα ωφέλιμα φορτία που λήφθηκαν σε παραβιασμένες συσκευές αποκάλυψαν ότι το κακόβουλο λογισμικό έσπασε επίσης τη λειτουργικότητα του Συστήματος Πρόληψης Εισβολής (IPS) των παραβιασμένων συσκευών που έχει σχεδιαστεί για να ανιχνεύει απειλές, παρακολουθώντας συνεχώς την κυκλοφορία του δικτύου για να αποκλείει απόπειρες παραβίασης ασφάλειας.
Η Fortinet προειδοποίησε ότι άλλα κακόβουλα ωφέλιμα φορτία λήφθηκαν από απομακρυσμένο ιστότοπο κατά τη διάρκεια επιθέσεων, αλλά δεν ήταν δυνατό να ανακτηθούν για ανάλυση.
Η εταιρεία κατέληξε στο συμπέρασμα ότι ο παράγοντας απειλής πίσω από την εκμετάλλευση του CVE-2022-42475 του περασμένου μήνα παρουσιάζει «προηγμένες δυνατότητες», συμπεριλαμβανομένης της ικανότητας αντίστροφης μηχανικής τμημάτων του λειτουργικού συστήματος FortiOS.
Συνέστησε επίσης στους πελάτες να αναβαθμίσουν αμέσως σε μια ενημερωμένη έκδοση του FortiOS για να αποκλείσουν τις προσπάθειες επίθεσης και να επικοινωνήσουν με την υποστήριξη του Fortinet εάν βρουν δείκτες συμβιβασμού που συνδέονται με τις επιθέσεις του Δεκεμβρίου.