ΕΓΓΡΑΦΗ ΣΤΟ NEWSLETTER

18 Ιανουαρίου 2023 06:53

Fortinet: Πού οφείλονται οι πρόσφατες κυβερνοεπιθέσεις σε κυβερνητικά δίκτυα

Η Fortinet ανακοίνωσε πως άγνωστοι εισβολείς εκμεταλλεύτηκαν μια ευπάθεια FortiOS SSL-VPN zero-day, η οποία όμως επιδιορθώθηκε τους περασμένους μήνες, σε επιθέσεις εναντίον κυβερνητικών οργανισμών και παρεμφερών στόχων.

Το ελάττωμα ασφαλείας (CVE-2022-42475) που ευθύνεται για αυτά τα περιστατικά είναι μια αδυναμία υπερχείλισης buffer που εντοπίστηκε στο FortiOS SSLVPNd και επέτρεπε σε μη επιβεβαιωμένους εισβολείς να διακόψουν στοχευμένες συσκευές εξ αποστάσεως ή να αποκτήσουν απομακρυσμένη άδεια για εκτέλεση κώδικα.

Η εταιρεία ασφάλειας δικτύων προέτρεψε τους πελάτες στα μέσα Δεκεμβρίου να επιδιορθώσουν τις συσκευές τους έναντι των επιθέσεων αυτών, αφού διόρθωσαν αθόρυβα το σφάλμα στις 28 Νοεμβρίου στο FortiOS 7.2.3 (και χωρίς να γνωστοποιήσουν πληροφορίες ότι ήταν μηδενική ημέρα).

Οι πελάτες ειδοποιήθηκαν ιδιωτικά για αυτό το ζήτημα στις 7 Δεκεμβρίου μέσω μιας συμβουλής TLP:Amber. Περισσότερες πληροφορίες κυκλοφόρησαν δημόσια στις 12 Δεκεμβρίου, συμπεριλαμβανομένης μιας προειδοποίησης ότι το σφάλμα έπεφτε «θύμα εκμετάλλευσης» ενεργά σε επιθέσεις.

Πρόσφατα, η Fortinet δημοσίευσε μια έκθεση παρακολούθησης που αποκαλύπτει ότι οι επιτιθέμενοι χρησιμοποιούσαν εκμεταλλεύσεις CVE-2022-42475 για να υπονομεύσουν τις συσκευές FortiOS SSL-VPN για να αναπτύξουν κακόβουλο λογισμικό που αναπτύσσεται ως trojanized έκδοση του IPS Engine. Η εταιρεία είπε ότι οι επιθέσεις του δράστη απειλών ήταν εξαιρετικά στοχευμένες, με στοιχεία που βρέθηκαν κατά τη διάρκεια της ανάλυσης που δείχνουν πως βασικός τους στόχος ήταν τα κυβερνητικά δίκτυα.

«Η πολυπλοκότητα του exploit υποδηλώνει έναν προηγμένο παράγοντα και στοχεύει σε μεγάλο βαθμό σε κυβερνητικούς στόχους», δήλωσε η Fortinet.

Οι εισβολείς επικεντρώθηκαν σε μεγάλο βαθμό στη διατήρηση της επιμονής και στην αποφυγή ανίχνευσης, χρησιμοποιώντας την ευπάθεια για την εγκατάσταση κακόβουλου λογισμικού που διορθώνει τις διαδικασίες καταγραφής του FortiOS, έτσι ώστε να μπορούν να αφαιρεθούν συγκεκριμένες εγγραφές καταγραφής ή ακόμη και να σκοτώσουν τις διαδικασίες καταγραφής, εάν είναι απαραίτητο.

Πρόσθετα ωφέλιμα φορτία που λήφθηκαν σε παραβιασμένες συσκευές αποκάλυψαν ότι το κακόβουλο λογισμικό έσπασε επίσης τη λειτουργικότητα του Συστήματος Πρόληψης Εισβολής (IPS) των παραβιασμένων συσκευών που έχει σχεδιαστεί για να ανιχνεύει απειλές, παρακολουθώντας συνεχώς την κυκλοφορία του δικτύου για να αποκλείει απόπειρες παραβίασης ασφάλειας.

Η Fortinet προειδοποίησε ότι άλλα κακόβουλα ωφέλιμα φορτία λήφθηκαν από απομακρυσμένο ιστότοπο κατά τη διάρκεια επιθέσεων, αλλά δεν ήταν δυνατό να ανακτηθούν για ανάλυση.

Η εταιρεία κατέληξε στο συμπέρασμα ότι ο παράγοντας απειλής πίσω από την εκμετάλλευση του CVE-2022-42475 του περασμένου μήνα παρουσιάζει «προηγμένες δυνατότητες», συμπεριλαμβανομένης της ικανότητας αντίστροφης μηχανικής τμημάτων του λειτουργικού συστήματος FortiOS.

Συνέστησε επίσης στους πελάτες να αναβαθμίσουν αμέσως σε μια ενημερωμένη έκδοση του FortiOS για να αποκλείσουν τις προσπάθειες επίθεσης και να επικοινωνήσουν με την υποστήριξη του Fortinet εάν βρουν δείκτες συμβιβασμού που συνδέονται με τις επιθέσεις του Δεκεμβρίου.

Τεύχος 208

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

Το TΕCHmail είναι το πρώτο διαδραστικό καθημερινό περιοδικό της LIBRA PRESS, που έρχεται να καλύψει δημοσιογραφικά με ειδήσεις, νέα και ρεπορτάζ τον κλάδο της επιχειρηματικότητας, που αφορά κατά βάση εταιρείες υψηλής τεχνολογίας.

ΕΠΙΚΟΙΝΩΝΙΑ
LIBRA PRESS
Καυκάσου 145, Αθήνα, 11364



ΕΓΓΡΑΦΗ ΣΤΟ NEWSLETTER


TechMail
Libra Press © Copyright 2022 | All Rights Reserved
Dual Design