В брешь в ОС Fortinet, отвечающую за безопасность, ринулись хакеры для атак на чиновников и крупный бизнес
Уязвимость нулевого дня, исправленная в начале марта 2023 г., позволяет устанавливать вредоносное ПО на проблемные устройства. Хакеры с ее помощью смогли отключить сразу несколько файерволлов в одной из пострадавших организаций.
Ошибка обхода пути
Уязвимость нулевого дня в FortiOS, которую компания Fortinet едва успела исправить, уже активно используется злоумышленниками в деструктивных и шпионских атаках против правительственных и крупных корпоративных структур.
FortiOS — это операционная система Fortinet. Она лежит в основе платформы компании Security Fabric и объединяет ряд технологий для обеспечения безопасности удаленной работы. В качестве ядра ОС используется модифицированная версия ядра Linux и файловая система ext2.
Уязвимость CVE-2022-41328 позволяет злоумышленникам запускать неавторизованный код и выполнять команды в контексте FortiOS. Проблема связана с некорректностью ограничений адресного пути к закрытому каталогу (или, попросту, «обход пути» — pathtraversal). Уязвимость не считается критической сама по себе, поскольку потенциальный злоумышленник должен обладать привилегиями в атакуемой системе. В случае получения таких привилегий он имеет возможность с помощью специальных команд CLI считывать содержимое произвольных файлов и перезаписывать их содержание.
Фото: соцсеть Fortinet Едва исправленная уязвимость FortiOS вовсю используется для атак на правительства
Уязвимость была обнаружена после того, как злоумышленникам удалось вывести из строя ряд аппаратных файерволлов FortiGate, используя уязвимость CVE-2022-41328. Злоумышленники предварительно осуществили взлом управляющего устройства FortiManager внутри сети пострадавшей организации — клиента Fortinet, а затем запустили эксплойт против всех файерволлов сразу.
Им также удалось модифицировать образ программной оболочки (/sbin/init) так, чтобы до начала загрузки запускалась еще одна вредоносная программа. Она предназначалась для вывода данных, скачивания и записи файлов и открытия удаленных шеллов.
Правительственные хакеры?
По данным Fortinet, речь шла об узконаправленных атаках, в ходе которых особое внимание уделялось правительственным организациям.
Действовали явно серьезные профессионалы, поскольку речь шла, в частности, об обратной разработке компонентов операционной системы FortiGate. Выявленный эксплойт также свидетельствовал о том, что злоумышленники очень хорошо знали и FortiOS, и оборудование, на котором эта операционная система функционирует.
Уязвимость затрагивала версии FortiOS 6.0 и 6.2, 6.4.0-6.4.11, 7.0.0-7.0.9 и 7.2.0-7.2.3. Обновления для них вышли 7 марта 2023 г.
Системным администраторам настоятельно рекомендовано как можно скорее установить патчи на уязвимые устройства.
«Коммерчески-мотивированные хакеры вряд ли будут атаковать в первую очередь правительственные организации, — полагает Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Логично предположить, что за атаками подобного рода и уровня исполнения стояли чьи-либо спецслужбы, обладающие обширными техническими и интеллектуальными ресурсами».
В январе Fortinet признала серию инцидентов, в ходе которых эксплуатировалась уязвимость в компоненте FortiOS SSL-VPN (CVE-2022-42475). Ею хакеры также пользовались для атак на правительственные учреждения и смежные организации. В тот раз эксперты по безопасности выявили сходство в методах проведения этих атак с кампанией, которую ранее проводила китайская APT-группа. В ходе нее на устройства SonicWall Secure Mobile Access (средства безопасного доступа с мобильных устройств) устанавливалась вредоносная программа, которая способна была пережить полное обновление программной оболочки атакованного устройства.
Источник: safe.cnews.ru