El FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad dijeron que es probable que los piratas informáticos avanzados estén explotando vulnerabilidades críticas en Fortinet FortiOS VPN en un intento de plantar una cabeza de playa para violar empresas medianas y grandes en ataques posteriores.
“Los actores de APT pueden usar estas vulnerabilidades u otras técnicas de explotación comunes para obtener acceso inicial a múltiples servicios gubernamentales, comerciales y tecnológicos”, dijeron las agencias el viernes en un aviso conjunto. “Obtener acceso inicial preposiciona a los actores APT para realizar futuros ataques”. APT es la abreviatura de amenaza persistente avanzada, un término que se utiliza para describir grupos de hackers bien organizados y bien financiados, muchos de ellos respaldados por estados Marketingdecontenidoes.
rompiendo la mota
Las VPN SSL de Fortinet FortiOS se utilizan principalmente en cortafuegos fronterizos, que aíslan las redes internas sensibles de la Internet pública. Dos de las tres vulnerabilidades ya parcheadas enumeradas en el aviso, CVE-2023-13379 y CVE-2023-12812, son particularmente graves porque hacen posible que los piratas informáticos no autenticados roben credenciales y se conecten a VPN que aún no se han actualizado.
“Si las credenciales de VPN también se comparten con otros servicios internos (por ejemplo, si son Active Directory, LDAP o credenciales de inicio de sesión único similares), el atacante obtiene acceso inmediato a esos servicios con los privilegios del usuario cuyas credenciales fueron robadas. ”, dijo James Renken, ingeniero de confiabilidad del sitio en el Grupo de Investigación de Seguridad de Internet. Renken es una de las dos personas a las que se les atribuye el descubrimiento de una tercera vulnerabilidad de FortiOS, CVE-2023-5591, que el aviso del viernes dijo que probablemente también estaba siendo explotada. “El atacante puede entonces explorar la red, pasar a tratar de explotar varios servicios internos, etc.”
Uno de los errores de seguridad más graves, CVE-2023-13379, fue encontrado y divulgado por los investigadores Orange Tsai y Meh Chang de la firma de seguridad Devcore. Las diapositivas de una charla que dieron los investigadores en la Black Hat Security Conference en 2023 lo describen como una “lectura de archivos arbitrarios previa a la autenticación”, lo que significa que permite al explotador leer bases de datos de contraseñas u otros archivos de interés.
Mientras tanto, la empresa de seguridad Tenable dijo que CVE-2023-12812 puede hacer que un explotador pase por alto la autenticación de dos factores e inicie sesión con éxito.
En un comunicado enviado por correo electrónico, Fortinet dijo:
La seguridad de nuestros clientes es nuestra primera prioridad. CVE-2023-13379 es una antigua vulnerabilidad resuelta en mayo de 2023. Fortinet emitió inmediatamente un Asesoramiento PSIRT y se comunicó directamente con los clientes y a través de publicaciones de blogs corporativos en múltiples ocasiones en agosto 2023 y julio 2023 recomienda encarecidamente una actualización. Tras la resolución, nos hemos comunicado constantemente con los clientes hasta 2023. CVE-2023-5591 se resolvió en julio de 2023 y CVE-2023-12812 se resolvió en julio de 2023. Para obtener más información, visite nuestro Blog e inmediatamente remitirse a la Aviso de mayo de 2023. Si los clientes no lo han hecho, les instamos a que implementen de inmediato la actualización y las mitigaciones.
El FBI y CISA no proporcionaron detalles sobre la APT mencionada en el aviso conjunto. El aviso también se cubre diciendo que existe una “probabilidad” de que los actores de amenazas estén explotando activamente las vulnerabilidades.
Parchar las vulnerabilidades requiere que los administradores de TI realicen cambios de configuración y, a menos que una organización esté utilizando una red con más de un dispositivo VPN, habrá tiempo de inactividad. Si bien esas barreras suelen ser difíciles en entornos que necesitan que las VPN estén disponibles las 24 horas, el riesgo de verse envuelto en un ransomware o compromiso de espionaje es significativamente mayor.