Yli 14 000 fortinet-laitetta maailmanlaajuisesti on vaarannettu tunnettujen haavoittuvuuksien ja uuden symlinkkipohjaisen pysyvyysmekanismin hyödyntämällä, jättäen herkän tiedon potentiaalisesti paljastamaan.

Shadowserver-säätiö ilmoitti, että uhka-näyttelijä käytti vanhempia kriittisiä haavoittuvuuksia, mukaan lukien CVE-2022-42475, CVE-2013-27997 ja CVE-2014-21762, pääsy Fortigate-laitteisiin. Fortinet varoitti, että nämä vanhemmat haavoittuvuudet asettaneet asiakasorganisaatiot saattavat silti olla vaarantuneet, koska symlinkin modifikaatiot kiersivät myyjän havainnot ja jatkuivat päivitysten jälkeen. Symlink tai symbolinen linkki on olennaisesti pikakuvake tiedostoon, joka tarjoaa hyökkääjille pääsyn kompromissi -laitteen tiedostoihin.

Shadowserverin viimeisimmät skannaukset osoittivat lähes 7000 vaarannetun Fortinet -laitteen Aasiassa, noin 3 500 ja 2 600 Euroopassa ja Pohjois -Amerikassa. Maat, joissa on kaikkein vaarantuneita laitteita, ovat Yhdysvallat, Japani, Taiwan ja Kiina. Fortinetin CISO Carl Windsorin mukaan Symlink-mekanismi implantoitiin laitteiden käyttäjän tiedostojärjestelmiin ja tarjoaa vain luku-tiedostoihin pääsyn tiedostoihin, jotka ”voivat sisältää laitteen kokoonpanoja”. Verkkoturvamyyjä totesi, että uhkatoiminta ei vaikuta asiakkaisiin, jotka eivät koskaan mahdollista SSL-VPN: iin.

You Might Also Like
AMD Ryzen 7 5800H benchmark is seen on Geekbench
Der AMD Ryzen 7 5800H Benchmark ist auf Geekbench zu sehen
Ubisoft puolustaa ”miehistön” sammuttamista, mainitsee rajoitetun lisenssin
Ubisoft puolustaa ”miehistön” sammuttamista, mainitsee rajoitetun lisenssin
Microsoftin Colón Data Center toimii kaasugeneraattoreilla vuoteen 2027 asti
Microsoftin Colón Data Center toimii kaasugeneraattoreilla vuoteen 2027 asti

Uuden-Seelannin tietokoneen hätätilan (CERT NZ) varoitti Fortinet-haavoittuvuuksien laajalle levinneestä hyödyntämisestä vuoteen 2023. Cert-NZ varoitti myös, että SYMLINK-mekanismi on saattanut antaa uhka-näyttelijälle pääsyn erittäin arkaluontoisiin tietoihin Fortinet-laitteissa. ”Kompromissi on saattanut antaa näyttelijälle mahdollisuuden käyttää arkaluontoisia tiedostoja vaarantuneista laitteista, mukaan lukien valtakirjat ja avainmateriaali”, Cert-NZ Advisory sanoi.

Ranskan tietokoneen hätätilan (CERT-FR) ilmoitti laajamittaisista hyökkäyksistä hyödyntämällä maan käytön jälkeistä tekniikkaa. ”Cert-FR on tietoinen massiivisesta kampanjasta, johon liittyy lukuisia vaarantuneita laitteita Ranskassa. Tapahtuman vastaustoiminnan aikana Cert-FR on oppinut kompromisseista, jotka ovat tapahtuneet vuoden 2023 alkupuolella”, virasto totesi neuvoa-antavaan neuvontaan. Fortinet kommunikoi suoraan asiakkaiden kanssa, joihin uhkatoiminta vaikutti ja vapautti päivitykset ja lieventämiset, jotka pystyvät havaitsemaan ja poistamaan Symlinkin laitteiden tiedostojärjestelmistä ja estämään niitä uudelleensijoittamasta.

Cert-FR korosti, että päivitysten soveltaminen ja haitallisen symlinkin poistaminen ”eivät riitä kompromissin tapauksessa”. Virasto kehotti tällaisia ​​asiakkaita eristämään vaarantuneet laitteet verkkoistaan ​​ja suorittamaan ”datan jäätymisen” haitallisen toiminnan tutkimiseksi; Palauta kaikki salaisuudet, kuten sairastuneille laitteille, kuten salasanat ja varmenteet; ja nollaa kaikki todennussalaisuudet, jotka ovat saattaneet välittää vaarantuneiden laitteiden kautta.

Source: Fortinet -laitteet, jotka on hakkeroitu symlink -hyökkäyksellä, riskitiedot