CISA потвърди днес, че нападателите активно използват критичен бъг в отдалеченото изпълнение на код (RCE), поправен от Fortinet в четвъртък.
Недостатъкът (CVE-2024-21762) се дължи на слабост в операционната система FortiOS, която позволява на неавтентифицирани нападатели да изпълняват произволен код от разстояние чрез злонамерено създадени HTTP заявки.
Администраторите, които не могат незабавно да внедрят актуализации на сигурността, за да поправят уязвимите устройства, могат да премахнат вектора на атаката, като деактивират SSL VPN на устройството.
Съобщението на CISA идва един ден, след като Fortinet публикува консултация по сигурността, в която се казва, че недостатъкът „потенциално се експлоатира в дивата природа“.
Въпреки че компанията все още не е споделила повече подробности относно потенциалната CVE-2022-48618, CISA добави уязвимостта към своя каталог с известни експлоатирани уязвимости, като предупреди, че подобни грешки са „чести вектори на атаки за злонамерени киберпрестъпници“, които представляват „значителни рискове за федералното предприятие“.
Агенцията за киберсигурност също така нареди на федералните агенции на САЩ да защитят устройствата FortiOS срещу този бъг в сигурността в рамките на седем дни, до 16 февруари, както се изисква от задължителната оперативна директива (BOD 22-01), издадена през ноември 2021 г.
Тази седмица Fortinet поправи две други критични уязвимости RCE (CVE-2024-23108 и CVE-2024-23109) в своето решение FortiSIEM.
Първоначално компанията отрече, че CVE са реални, и заяви, че те са дубликати на подобен недостатък (CVE-2023-34992), поправен през октомври.
Процесът на разкриване на информацията от страна на Fortinet обаче беше много объркващ, като компанията първо отрече, че CVEs са реални, и заяви, че те са генерирани по погрешка поради проблем с API като дубликати на подобен недостатък (CVE-2023-34992), отстранен през октомври.
Както стана ясно по-късно, бъговете са открити и докладвани от експерта по уязвимости на Horizon3 Зак Ханли, като в крайна сметка компанията призна, че двата CVE са варианти на оригиналния бъг CVE-2023-34992.
Тъй като отдалечените неаутентифицирани нападатели могат да използват тези уязвимости, за да изпълняват произволен код на уязвимите устройства, силно се препоръчва всички устройства на Fortinet да бъдат защитени възможно най-скоро незабавно.
Недостатъците на Fortinet (многократно наричани „нулеви дни“) често са обект на пробив в корпоративните мрежи при кампании за кибершпионаж и атаки с цел получаване на откуп.
Например в сряда Fortinet съобщи, че китайската хакерска група Volt Typhoon е използвала два недостатъка на FortiOS SSL VPN (CVE-2022-42475 и CVE-2023-27997) в атаки, при които е внедрила персонализирания зловреден софтуер Coathanger.
Coathanger е троянски кон за отдалечен достъп (RAT), който е насочен към устройствата за мрежова сигурност Fortigate и наскоро беше използван за проникване във военна мрежа на холандското министерство на отбраната, за което писахме.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.