ФБР и Агентство по кибербезопасности и безопасности инфраструктуры заявили, что хакеры могли задействовать критические уязвимости в Fortinet FortiOS VPN. Целью является взлом средних и крупных организаций.
«Эти уязвимости и другие распространённые методы могли применяться для получения первоначального доступа к многочисленным правительственным, коммерческим и технологическим сервисам. Этот доступ становится плацдармом для будущих атак».
VPN от Fortinet FortiOS SSL используются в основном в межсетевых экранах. Они отгораживают защищённые внутренние сети от общедоступного интернета. Две из трёх уже закрытых уязвимостей, CVE-2018-13379 и CVE-2020-12812, представляют особую угрозу. Они позволяют не прошедшим проверку подлинности хакерам красть учётные данные и подключаться к пока не обновлённым VPN.
«Если учётные данные VPN используются и в других внутренних службах (например, если они являются едиными данными на вход Active Directory, LDAP или аналогичными), то злоумышленник немедленно получает доступ к этим службам с привилегиями пользователя, учётные данные которого были украдены», говорит Джеймс Ренкен, инженер по надёжности сайтов в Internet Security Research Group. Он является одним из двух человек, которым приписывают открытие третьей уязвимости FortiOS, CVE-2019-5591. Она также могла уже быть задействована. «Затем злоумышленник может исследовать сеть, попытаться использовать различные внутренние службы и т.д.».
Одна из самых серьёзных уязвимостей в системе безопасности CVE-2018-13379 была обнаружена и раскрыта исследователями Orange Tsai и Meh Chang из компании Devcore. Слайды из выступления исследователей на конференции по безопасности Black Hat в 2019 году описывают её как «чтение произвольного файла до авторизации». Это даёт злоумышленнику возможность читать базы данных паролей или другие интересующие файлы.
Компания Tenable заявила, что CVE-2020-12812 может привести к тому, что злоумышленник обойдёт двухфакторную аутентификацию и успешно войдёт в систему.
В заявлении Fortinet говорится следующее:
«Безопасность клиентов является нашим главным приоритетом. CVE-2018-13379 - это старая уязвимость, устранённая в мае 2019 года. Fortinet немедленно выпустила уведомление и неоднократно связывалась напрямую с клиентами и через сообщения в корпоративных блогах в августе 2019 и июле 2020 года, настоятельно рекомендуя обновиться. После устранения проблемы мы постоянно были на связи с клиентами в 2020 году. Уязвимость CVE-2019-5591 была закрыта в июле 2019 года, а CVE-2020-12812 в июле 2020 года».
Сведений о хакерах предоставлено не было. Есть вероятность того, что злоумышленники до сих пор активно используют эти уязвимости.
