Вибір редакції

В брешь в ОС Fortinet, отвечающую за безопасность, ринулись хакеры

11 апреля, 2023. 09:04
Уязвимость нулевого дня, исправленная в начале марта 2023 г., позволяет устанавливать вредоносное ПО на проблемные устройства. Хакеры с ее помощью смогли отключить сразу несколько файерволлов в одной из пострадавших организаций.
Уязвимость нулевого дня в FortiOS, которую компания Fortinet едва успела исправить, уже активно используется злоумышленниками в деструктивных и шпионских атаках против правительственных и крупных корпоративных структур.

FortiOS — это операционная система Fortinet. Она лежит в основе платформы компании Security Fabric и объединяет ряд технологий для обеспечения безопасности удаленной работы. В качестве ядра ОС используется модифицированная версия ядра Linux и файловая система ext2.

Уязвимость CVE-2022-41328 позволяет злоумышленникам запускать неавторизованный код и выполнять команды в контексте FortiOS. Проблема связана с некорректностью ограничений адресного пути к закрытому каталогу (или, попросту, «обход пути» — pathtraversal). Уязвимость не считается критической сама по себе, поскольку потенциальный злоумышленник должен обладать привилегиями в атакуемой системе. В случае получения таких привилегий он имеет возможность с помощью специальных команд CLI считывать содержимое произвольных файлов и перезаписывать их содержание.

Уязвимость была обнаружена после того, как злоумышленникам удалось вывести из строя ряд аппаратных файерволлов FortiGate, используя уязвимость CVE-2022-41328. Злоумышленники предварительно осуществили взлом управляющего устройства FortiManager внутри сети пострадавшей организации — клиента Fortinet, а затем запустили эксплойт против всех файерволлов сразу.

Им также удалось модифицировать образ программной оболочки (/sbin/init) так, чтобы до начала загрузки запускалась еще одна вредоносная программа. Она предназначалась для вывода данных, скачивания и записи файлов и открытия удаленных шеллов.

По данным Fortinet, речь шла об узконаправленных атаках, в ходе которых особое внимание уделялось правительственным организациям.

Действовали явно серьезные профессионалы, поскольку речь шла, в частности, об обратной разработке компонентов операционной системы FortiGate. Выявленный эксплойт также свидетельствовал о том, что злоумышленники очень хорошо знали и FortiOS, и оборудование, на котором эта операционная система функционирует.

Уязвимость затрагивала версии FortiOS 6.0 и 6.2, 6.4.0-6.4.11, 7.0.0-7.0.9 и 7.2.0-7.2.3. Обновления для них вышли 7 марта 2023 г.

Системным администраторам настоятельно рекомендовано как можно скорее установить патчи на уязвимые устройства.

В январе Fortinet признала серию инцидентов, в ходе которых эксплуатировалась уязвимость в компоненте FortiOS SSL-VPN (CVE-2022-42475). Ею хакеры также пользовались для атак на правительственные учреждения и смежные организации. В тот раз эксперты по безопасности выявили сходство в методах проведения этих атак с кампанией, которую ранее проводила китайская APT-группа. В ходе нее на устройства SonicWall Secure Mobile Access (средства безопасного доступа с мобильных устройств) устанавливалась вредоносная программа, которая способна была пережить полное обновление программной оболочки атакованного устройства.

Комментарии: