Η CISA επιβεβαίωσε σήμερα ό
τι
οι εισβολείς εκμεταλλεύονται ενεργά ένα κρίσιμο σφάλμα απομακρυσμένης εκτέλεσης κώδικα (RCE) που επιδιορθώθηκε από την Fortinet την Πέμπτη.
Το ελάττωμα (CVE-2024-21762) οφείλεται σε ένα
εκτός ορίων γράφουν
αδυναμία στο λειτουργικό σύστημα FortiOS που μπορεί να επιτρέψει σε μη
επα
ληθευμένους εισβολείς να εκτελούν αυθαίρετο κώδικα εξ αποστάσεως χρησιμοποιώντας αιτήματα HTTP που έχουν δημιουργηθεί κακόβουλα.
Οι διαχειριστές που δεν μπορούν να αναπτύξουν αμέσως ενημερώσεις ασφαλείας για την επιδιόρθωση ευάλωτων συσκευών μπορούν να καταργήσουν το διάνυσμα επίθεσης απενεργοποιώντας το SSL VPN στη συσκευή.
Η ανακοίνωση της CISA έρχεται μια ημέρα αφότου η Fortinet δημοσίευσε μια συμβουλευτική για την ασφάλεια λέγοντας ότι το ελάττωμα «δυνητικά αξιοποιείται στην άγρια φύση».
Ενώ η εταιρεία δεν έχει ακόμη κοινοποιήσει περισσότερες λεπτομέρειες σχετικά με το πιθανό CVE-2022-48618, η CISA έχει
προστέθηκε
την ευπάθεια σε αυτήν
Κατάλογος γνωστών εκμεταλλευόμενων ευπαθειών
προειδοποιώντας ότι τέτοια σφάλματα είναι “διανύσματα συχνών επιθέσεων για κακόβουλους φορείς του κυβερνοχώρου” που θέτουν “σημαντικούς κινδύνους για την ομοσπονδιακή επιχείρηση”.
Η υπηρεσία κυβερνοασφάλειας διέταξε επίσης τις ομοσπονδιακές υπηρεσίες των ΗΠΑ να ασφαλίσουν τις συσκευές FortiOS από αυτό το σφάλμα ασφαλείας εντός επτά ημερών, έως τις 16 Φεβρουαρίου, όπως απαιτείται από τη δεσμευτική επιχειρησιακή οδηγία (
ΔΣ 22-01
) που εκδόθηκε τον Νοέμβριο του 2021.
Συγχυτικές αποκαλύψεις
Η Fortinet επιδιορθώνει δύο άλλα κρίσιμα τρωτά σημεία RCE (CVE-2024-23108 και CVE-2024-23109) στη λύση FortiSIEM αυτή την εβδομάδα.
Αρχικά, η εταιρεία αρνήθηκε ότι τα CVE ήταν πραγματικά και ισχυρίστηκε ότι ήταν αντίγραφα ενός παρόμοιου ελαττώματος (CVE-
2023
-34992) που διορθώθηκε τον Οκτώβριο.
Ωστόσο, η διαδικασία αποκάλυψης της Fortinet ήταν πολύ συγκεχυμένη, με την εταιρεία να αρνείται αρχικά ότι τα CVE ήταν αληθινά και να ισχυρίζεται ότι δημιουργήθηκαν κατά λάθος λόγω ενός προβλήματος API ως αντίγραφα ενός παρόμοιου ελαττώματος (CVE-2023-34992) που διορθώθηκε τον Οκτώβριο.
Όπως αποκαλύφθηκε αργότερα, τα σφάλματα ανακαλύφθηκαν και αναφέρθηκαν από
Ο ειδικός σε θέματα ευπάθειας του Horizon3, Zach Hanley
με την εταιρεία να παραδέχεται τελικά ότι τα δύο CVE ήταν παραλλαγές του αρχικού σφάλματος CVE-2023-34992.
Δεδομένου ότι οι απομακρυσμένοι εισβολείς χωρίς έλεγχο ταυτότητας μπορούν να χρησιμοποιήσουν αυτά τα τρωτά σημεία για να εκτελέσουν αυθαίρετο κώδικα σε ευάλωτες συσκευές, συνιστάται να ασφαλίσετε όλες τις συσκευές Fortinet το συντομότερο δυνατό αμέσως.
Τα ελαττώματα του Fortinet (πολλές φορές όσο το zero-days) στοχεύουν συνήθως την παραβίαση των εταιρικών δικτύων σε εκστρατείες κατασκοπείας στον κυβερνοχώρο και επιθέσεις
ransomware
.
Για παράδειγμα, Fortinet
είπε
την Τετάρτη ότι η κινεζική ομάδα hacking Volt Typhoon χρησιμοποίησε δύο ελαττώματα FortiOS SSL VPN (CVE-2022-42475 και CVE-2023-27997) σε επιθέσεις όπου ανέπτυξε το προσαρμοσμένο
κακόβουλο λογισμικό
Coathanger.
Το Coathanger είναι ένας trojan απομακρυσμένης πρόσβασης (RAT) που στοχεύει τις συσκευές ασφαλείας δικτύου Fortigate και χρησιμοποιήθηκε πρόσφατα για την κερκόπορτα ενός στρατιωτικού δικτύου του ολλανδικού Υπουργείου Άμυνας.
VIA:
bleepingcomputer.com
