Le FBI et la CISA préviennent que les APT exploitent des vulnérabilités Fortinet non corrigées
Selon une déclaration conjointe du FBI et de la Cybersecurity and Infrastructure Security Agency (CISA) du Department of Homeland Security, les menaces persistantes avancées internationales ou APT exploitent actuellement des vulnérabilités non corrigées dans les plates-formes Fortinet FortiOS appartenant aux fournisseurs de services technologiques, aux agences gouvernementales et au secteur privé. entités.
Les APT se sont penchés sur les failles CVE-2018-13379, CVE-2020-12812 et CVE-2019-5591, initialement découvertes en 2019. Cette dernière campagne de piratage permet aux attaquants de pénétrer et d'attendre sur le réseau de la victime. pour de futures cyberattaques.
CVE-2018-13379 est associé aux plates-formes Fortinet FortiOS 6.0.0 à 6.0.4, 5.6.3 à 5.6.7 et 5.4.6 à 5.4.12 et a été causé par une limitation incorrecte d'un chemin d'accès à un répertoire restreint sous le Portail Web VPN (Virtual Private Network) SSL.
Une fois exploitée, la faille donne aux attaquants la possibilité de télécharger des fichiers système via des requêtes de ressources HTTP spécialement conçues. Une alerte CISA précédente indiquait qu'un exploit peut également être en mesure d'exposer des mots de passe via le système vulnérable.
Table des matières
Comment les vulnérabilités sont-elles exploitées?
Afin d'exploiter la vulnérabilité, les pirates doivent d'abord obtenir les informations d'identification des utilisateurs VPN SSL connectés.
Dans les campagnes de piratage précédentes, les cybercriminels ont exploité ces lacunes de sécurité dans des campagnes en chaîne. Le pirate informatique devrait initialement exploiter une vulnérabilité Fortinet FortiOS pour accéder au réseau de la victime, puis il associerait l'attaque à une vulnérabilité critique de Netlogon, CVE-2020-1472, pour élever les privilèges lors d'une seule violation.
Dans ces dernières attaques, les agences de sécurité américaines ont averti que les APT recherchent actuellement des périphériques sur les ports 4443, 8443 et 10443 pour trouver CVE-2018-13379, ainsi que des périphériques énumérés pour CVE-2020-12812 et CVE-2019- 5591.
Les vulnérabilités sont généralement exploitées par les APT pour exécuter des attaques DDoS, des ransomwares, du spear- phishing , des attaques par injection SQL, la dégradation de sites Web et des campagnes de désinformation, selon la déclaration conjointe.
Au cours de cette campagne, les APT doivent exploiter les failles de Fortinet pour obtenir un accès au réseau pour plusieurs secteurs d'infrastructure critiques, pour cela l'alerte appelée «pré-positionnement pour l'exfiltration de données consécutives ou les attaques de cryptage de données».
«Les acteurs APT peuvent utiliser d'autres CVE ou des techniques d'exploitation courantes - telles que le spear-phishing - pour accéder aux réseaux d'infrastructures critiques afin de se pré-positionner pour des attaques ultérieures», selon le communiqué.
Il est désormais conseillé aux entités d'infrastructure critique d'appliquer immédiatement la mise à jour du logiciel Fortinet à leurs appareils.
Les organisations qui n'emploient pas la technologie doivent immédiatement ajouter les fichiers d'artefacts clés FortiOS à leur liste de refus d'exécution afin d'éviter toute tentative possible d'installer et / ou d'exécuter le programme et ses fichiers.
Que recommandent la CISA et le FBI aux utilisateurs?
Les agences américaines recommandent en outre d'exiger des informations d'identification d'administrateur pour toute installation de logiciel et de tirer parti de l'authentification multifacteur pour tous les terminaux concernés. La segmentation du réseau est également fortement recommandée pour isoler les technologies vulnérables du réseau principal et pour sauvegarder régulièrement les données sur un serveur de stockage hors ligne protégé par mot de passe.
Il est également recommandé de se concentrer sur une sensibilisation accrue des employés et une formation supplémentaire basée sur l'identification et la prévention des e-mails de phishing, ainsi que sur la désactivation des hyperliens dans les messages et le marquage des e-mails externes.
Le FBI et la CISA préviennent que les APT exploitent des vulnérabilités Fortinet non corrigées captures d'écran
