El FBI y CISA advierten que las APT están explotando vulnerabilidades de Fortinet sin parches

El FBI y CISA advierten que las APT están explotando vulnerabilidades de Fortinet sin parches Image

Según una declaración conjunta del FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional, las amenazas persistentes avanzadas internacionales o APT actualmente están explotando vulnerabilidades no parcheadas en las plataformas FortiOS de Fortinet que pertenecen a proveedores de servicios tecnológicos, agencias gubernamentales y el sector privado. entidades.

Las APT se han centrado en las fallas CVE-2018-13379, CVE-2020-12812 y CVE-2019-5591, que se descubrieron inicialmente en 2019. Esta última campaña de piratería permite a los atacantes penetrar y esperar en la red de la víctima. para futuros ciberataques.

CVE-2018-13379 está asociado con las plataformas Fortinet FortiOS 6.0.0 a 6.0.4, 5.6.3 a 5.6.7 y 5.4.6 a 5.4.12 y fue causado por una limitación incorrecta de un nombre de ruta a un directorio restringido bajo el Portal web SSL Virtual Private Network (VPN).

Una vez explotada, la falla brinda a los atacantes la capacidad de descargar archivos del sistema a través de solicitudes de recursos HTTP especialmente diseñadas. Una alerta anterior de CISA indicó que un exploit también puede exponer contraseñas a través del sistema vulnerable.

¿Cómo se explotan las vulnerabilidades?

Para aprovechar la vulnerabilidad, los piratas informáticos inicialmente deben obtener las credenciales de los usuarios de VPN SSL que hayan iniciado sesión.

En campañas de piratería anteriores, los ciberdelincuentes aprovecharon estas brechas de seguridad en campañas encadenadas. El pirata informático inicialmente tendría que aprovechar una vulnerabilidad de Fortinet FortiOS para poder ingresar a la red de la víctima, luego emparejaría el ataque junto con una vulnerabilidad crítica de Netlogon, CVE-2020-1472, para elevar los privilegios durante una sola violación.

En estos últimos ataques, las agencias de seguridad de EE. UU. Advirtieron que las APT actualmente están buscando dispositivos en los puertos 4443, 8443 y 10443 para encontrar CVE-2018-13379, así como dispositivos enumerados para CVE-2020-12812 y CVE-2019- 5591.

Las vulnerabilidades se suele aprovecharse de las APT para ejecutar ataques DDoS, ransomware, Spear phishing , ataques de inyección SQL, deformación del sitio Web, y las campañas de desinformación, de acuerdo con la declaración conjunta.

Durante esta campaña, se pensó que las APT aprovecharían las fallas de Fortinet para obtener acceso a la red para múltiples sectores de infraestructura crítica, por lo que la alerta llamó "pre-posicionamiento para la exfiltración de datos de seguimiento o ataques de cifrado de datos".

“Los actores de APT pueden usar otros CVE o técnicas de explotación comunes, como el spear-phishing, para obtener acceso a redes de infraestructura crítica y prepararse para ataques posteriores”, según el comunicado.

Ahora se recomienda a las entidades de infraestructura crítica que apliquen inmediatamente la actualización del software de Fortinet a sus dispositivos.

Las organizaciones que no emplean la tecnología deben agregar inmediatamente los archivos de artefactos clave de FortiOS a su lista de denegación de ejecución para evitar posibles intentos de instalar o ejecutar el programa y sus archivos.

¿Qué recomiendan la CISA y el FBI a los usuarios?

Las agencias de EE. UU. Recomiendan además exigir credenciales de administrador para cualquier instalación de software y aprovechar la autenticación multifactor para todos los puntos finales relevantes. También se recomienda encarecidamente la segmentación de la red para aislar la tecnología vulnerable de la red principal, así como para realizar copias de seguridad periódicas de los datos en un servidor de almacenamiento sin conexión protegido con contraseña.

También se recomienda enfocarse en una mayor conciencia de los empleados y capacitación adicional basada en identificar y evitar correos electrónicos de phishing, junto con la desactivación de hipervínculos en los mensajes y el marcado de correos electrónicos externos.

Deja una Respuesta

NO use este sistema de comentarios para soporte o preguntas de facturación. Para problemas de facturación, consulte nuestra página "¿ Preguntas o problemas de facturación?". Para problemas de facturación, consulte nuestra página "Preguntas o Problemas de Facturación?". Para consultas generales (quejas, legal, prensa, marketing, derechos de autor), visite nuestra página "Consultas y Comentarios".


HTML no está permitido.