Точно в момента, в който Fortinet предупреждава, че заплахите поддържат постоянен достъп до устройствата FortiOS и FortiProxy, засегнати от известни уязвимости, заплаха предлага да продаде предполагаем експлойт от нулев ден, насочен към защитните стени FortiGate.
През уикенда фирмата за киберсигурност ThreatMon предупреди в X за публикация във форум в тъмната мрежа, в която заплахата твърди, че нулевият ден в защитните стени FortiGate на Fortinet може да бъде използван отдалечено, без удостоверяване, за изпълнение на произволен код.
Според лицето експлойтът би осигурил пълен контрол над уязвимото устройство, позволявайки извличането на конфигурационните файлове на FortiOS и съхраняваната в тях чувствителна информация, включително идентификационни данни, разрешения за администраторски акаунт, политики на защитната стена, състояние на двуфакторното удостоверяване и др.
Публикацията на заплахата се появи в същото време, когато Fortinet публикува нова консултация относно използването на известни уязвимости в своите продукти FortiOS и FortiProxy.
Според Fortinet поне три дефекта в сигурността, за които са пуснати пачове – CVE-2022-42475, CVE-2023-27997 и CVE-2024-21762 – са били използвани в глобални атаки за „осъществяване на достъп само за четене до уязвими FortiGate устройства“.
Чрез „създаване на символна връзка, свързваща потребителската файлова система и кореновата файлова система в папка, използвана за обслужване на езикови файлове за SSL-VPN“, нападателите избягват откриването и гарантират, че дори след внедряването на пачове ще запазят достъпа до компрометираните устройства.
Засегнати са били само конфигурации с активиран SSL-VPN и Fortinet е внедрила нови смекчаващи мерки, включително AV/IPS сигнатура и модификации в последните софтуерни версии за откриване и изчистване на символната връзка, както и комуникация с потенциално засегнатите клиенти.
Fortinet и американската агенция за киберсигурност CISA призовават администраторите да актуализират своите защитни стени до версии на FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 или 6.4.16, които премахват злонамерената символна връзка.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
