Уязвимость нулевого дня нацелена на брандмауэры Fortinet FortiGate

Кибербезопасная компания Arctic Wolf сообщила в пятницу, что злоумышленники недавно нацелились на устройства брандмауэра Fortinet FortiGate с открытыми интерфейсами управления в публичном Интернете в подозреваемой кампании нулевого дня.

Согласно исследователям Arctic Wolf Labs, злонамеренная активность против брандмауэров Fortinet началась в середине ноября 2024 года. Неизвестные злоумышленники изменили конфигурации брандмауэра, получив доступ к интерфейсам управления на затронутых брандмауэрах и извлекая учетные данные с помощью DCSync в скомпрометированных средах.

«Кампания включала несанкционированные административные входы в интерфейсы управления брандмауэров, создание новых учетных записей, аутентификацию SSL VPN через эти учетные записи и различные другие изменения конфигурации», - написали исследователи безопасности Arctic Wolf в блоге, опубликованном на прошлой неделе.

Хотя начальный вектор доступа, использованный в этой кампании, в настоящее время остается неизвестным, Arctic Wolf Labs уверены, что «массовая эксплуатация уязвимости нулевого дня» вероятна, учитывая сжатые сроки в затронутых организациях и диапазон затронутых версий прошивки.

Затронутыми в основном оказались версии прошивки от 7.0.14 до 7.0.16, которые были выпущены в феврале 2024 года и октябре 2024 года соответственно.

Arctic Wolf Labs в настоящее время идентифицировала четыре отдельных фазы атаки кампании, нацеленной на уязвимые устройства FortiGate в период с ноября 2024 года по декабрь 2024 года:

Фаза 1: Сканирование уязвимостей (с 16 ноября 2024 года по 23 ноября 2024 года)

Фаза 2: Рекогносцировка (с 22 ноября 2024 года по 27 ноября 2024 года)

Фаза 3: Конфигурация SSL VPN (с 4 декабря 2024 года по 7 декабря 2024 года)

Фаза 4: Латеральное перемещение (с 16 декабря 2024 года по 27 декабря 2024 года)

На первой фазе злоумышленники проводили сканирование уязвимостей и использовали сеансы jsconsole с соединениями с необычными IP-адресами, такими как адреса обратной связи (например, 127.0.0.1) и популярные DNS-резолверы, включая Google Public DNS и Cloudflare, что делало их идеальной целью для охоты за угрозами.

На фазе рекогносцировки атакующие внесли первые несанкционированные изменения конфигурации в нескольких организациях-жертвах, чтобы проверить, получили ли они успешный доступ для внесения изменений на скомпрометированных брандмауэрах.

Во время третьей фазы кампании злоумышленники внесли значительные изменения в скомпрометированные устройства, чтобы установить доступ к SSL VPN.

В некоторых вторжениях они создавали новые супер администраторские учетные записи, в то время как в других они захватывали существующие учетные записи для получения доступа к SSL VPN. Злоумышленники также создавали новые порталы SSL VPN, куда учетные записи пользователей добавлялись напрямую.

На последней фазе, после успешного получения доступа к SSL VPN в среде организации-жертвы, злоумышленники использовали технику DCSync для извлечения учетных данных для латерального перемещения.

Согласно данным кибербезопасной компании, злоумышленники были удалены из затронутых систем до того, как смогли продолжить.

Artic Wolf Labs уведомила Fortinet о наблюдаемой активности в этой кампании 12 декабря 2024 года. FortiGuard Labs PSIRT подтвердил 17 декабря 2024 года, что он осведомлен о известной активности и активно расследует проблему.

Чтобы защититься от таких известных проблем безопасности, Artic Wolf Labs рекомендует организациям немедленно отключить доступ к управлению брандмауэром на публичных интерфейсах и ограничить доступ доверенным пользователям.

Также рекомендуется регулярно обновлять прошивку на устройствах брандмауэра до последней версии, чтобы защититься от известных уязвимостей.