Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

Уязвимости Fortinet FortiGate: Хакеры адаптируют атаки через SSL VPN

15
2 мин
Недавнее исследование, проведенное компанией Arctic Wolf, выявило новую киберугрозу, направленную на устройства брандмауэра Fortinet FortiGate. Хакеры использовали уязвимости для несанкционированного доступа к системам, создавая новые учетные записи и внося изменения в конфигурацию. Хакеры осуществляли административный вход в систему с общедоступными интерфейсами управления брандмауэра FortiGate и настраивали аутентификацию SSL VPN. Организации должны незамедлительно отключить публичный доступ к этим интерфейсам управления для снижения рисков. Как отмечает Arctic Wolf Labs: “В ходе расследования были зафиксированы подозрительные действия на брандмауэрах Fortinet FortiGate, позволяющие хакерам манипулировать конфигурациями.” Хотя точный метод первоначального доступа остается неопределенным, вероятность использования уязвимости нулевого дня высока. Основные этапы кампании включали: В ходе кампании хакеры использовали DCSync для извлечения учетных данных в уязвимых средах. Также была выяв
Оглавление
Изображение: arcticwolf.com
Изображение: arcticwolf.com

Недавнее исследование, проведенное компанией Arctic Wolf, выявило новую киберугрозу, направленную на устройства брандмауэра Fortinet FortiGate. Хакеры использовали уязвимости для несанкционированного доступа к системам, создавая новые учетные записи и внося изменения в конфигурацию.

Описание угрозы

Хакеры осуществляли административный вход в систему с общедоступными интерфейсами управления брандмауэра FortiGate и настраивали аутентификацию SSL VPN. Организации должны незамедлительно отключить публичный доступ к этим интерфейсам управления для снижения рисков. Как отмечает Arctic Wolf Labs:

“В ходе расследования были зафиксированы подозрительные действия на брандмауэрах Fortinet FortiGate, позволяющие хакерам манипулировать конфигурациями.”

Методы атаки

Хотя точный метод первоначального доступа остается неопределенным, вероятность использования уязвимости нулевого дня высока. Основные этапы кампании включали:

  • Сканирование уязвимостей;
  • Рекогносцировка;
  • Настройка SSL VPN;
  • Перемещение по сети.

В ходе кампании хакеры использовали DCSync для извлечения учетных данных в уязвимых средах. Также была выявлена уязвимость CVE-2022-26118, связанная с повышением привилегий, где использовалась утилита newcli для добавления пользователей через черный ход.

Признаки компрометации

Показателями компрометации стали:

  • Использование сеансов jsconsole с подключениями к необычным IP-адресам;
  • Анализ трафика веб-управления HTTPS с IP-адресов VPS-хостинга.

Трафик указывал на возможную вредоносную активность для поиска угроз, и, хотя технические подробности предполагаемой уязвимости не разглашались, наличие этой активности является очевидным сигналом о потенциальной угрозе.

Рекомендации для организаций

Arctic Wolf подчеркнула значимость следующих мер:

  • Своевременное обновление встроенного программного обеспечения брандмауэра;
  • Защита интерфейсов управления;
  • Отслеживание неожиданных входов в систему от провайдеров VPS-хостинга.

Хакеры активизировали свои действия по получению доступа к SSL VPN, создавая учетные записи суперадминистраторов и локальных пользователей, перехватывая существующие учетные записи и сбрасывая пароли. Исследование подчеркивает необходимость оперативного устранения ошибок в настройках для предотвращения ряда потенциальных уязвимостей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Уязвимости Fortinet FortiGate: Хакеры адаптируют атаки через SSL VPN".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Безопасность и правопорядок
95,2 тыс интересуются