Атакующие обходят недавнее исправление Fortinet для критической уязвимости SSO в FortiCloud, используя новый путь атаки. Эксперты фиксируют повторные взломы даже на полностью обновленных устройствах.
Компания Fortinet подтвердила, что злоумышленники активно обходят декабрьское исправление критической уязвимости в механизме единого входа (SSO) FortiCloud, после того как клиенты сообщили о подозрительных входах в систему на устройствах, которые, по идее, должны были быть полностью обновлены.
В новом уведомлении Fortinet сообщила, что выявила новый путь атаки, используемый для злоупотребления SAML-based SSO в FortiOS, даже на системах, где ранее примененное исправление уже было установлено.
Это заявление последовало за сообщениями ранее на этой неделе о том, что межсетевые экраны FortiGate тайно перенастраивались через скомпрометированные учетные записи SSO, при этом злоумышленники изменяли настройки файрвола, создавали бэкдор-пользователей администратора и выгружали конфигурационные файлы.
Компания Arctic Wolf сообщила, что кампания началась около 15 января, когда злоумышленники быстро активировали учетные записи с включенным VPN и извлекали конфигурационные файлы файрвола за считанные секунды — поведение, убедительно свидетельствующее об автоматизации, а не о кропотливой ручной работе. Фирма по кибербезопасности добавила, что эта активность тесно перекликается с инцидентами, зафиксированными в декабре, после того как Fortinet раскрыла информацию об уязвимости обхода аутентификации SSO, которую, как предполагалось, устранили.
“Недавно небольшое число клиентов сообщило о неожиданной активности входа в систему на своих устройствах, которая была очень похожа на предыдущую проблему”, — заявил главный специалист по информационной безопасности Fortinet Карл Уиндзор.
“Однако за последние 24 часа мы выявили ряд случаев, когда эксплойт применялся к устройству, которое на момент атаки было полностью обновлено до последней версии, что указывало на новый путь атаки”.
“Служба безопасности продуктов Fortinet выявила проблему, и компания работает над исправлением для устранения этой ситуации”, — сказал Уиндзор. “Уведомление будет выпущено, как только станут известны масштаб и сроки исправления”.
Хотя эксплуатация пока наблюдалась только через FortiCloud SSO, Уиндзор предупредил, что лежащая в основе слабость не ограничивается этим сервисом.
“Важно отметить, что хотя на данный момент наблюдается только эксплуатация FortiCloud SSO, эта проблема применима ко всем реализациям SAML SSO”. Это не та деталь, которая может успокоить тех, кто отвечает за безопасность этих систем.
Fortinet пока не опубликовала технические подробности альтернативного пути атаки, хотя компания заявляет, что расследование продолжается. Тем временем она посоветовала клиентам проверить журналы аутентификации на предмет любой неожиданной активности входа, ограничить доступ к интерфейсу управления и внимательно отслеживать изменения в учетных записях администраторов.
Пока клиентам Fortinet остается следить за логами и ждать очередного исправления — на этот раз с надеждой, что оно действительно закроет брешь. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Carly Page