Fortinet

Хакерска група е предоставила безплатно в Dark Web конфигурационни файлове, IP адреси и VPN идентификационни данни за над 15 000 устройства FortiGate.

Belsen Group се появи за първи път в социалните медии и форумите за киберпрестъпления този месец. За да се популяризира, тя е създала уебсайт в Tor. Именно там групата е публикувала критичната информация, за да бъде използвана от други киберпрестъпници.

Данните от FortiGate представляват архив с обем 1,6 GB, който съдържа папки, подредени по държави. Всяка от тях съдържа допълнителни подпапки за IP адресите на FortiGate в конкретната държава.

Ако използвате подобно устройство:

• незабавно променете всички пароли и конфигурации;
• инсталирайте версия 7.2.2 на FortiOS или по-нова;
• проверете за наличието на неоторизирани акаунти и ги премахнете незабавно;
• редовно преглеждайте логовете на устройствата за подозрителна активност и мрежовия трафик за необичайни модели;
• сегментирайте мрежата си, за да ограничите разпространението на потенциални атаки.
• ако е необходимо, потърсете помощ от специалисти по киберсигурност за по-детайлен анализ.

Fortinet издаде спешно предупреждение за критична уязвимост, която засяга продуктите FortiOS и FortiProxy. Тя позволява на нападатели да заобиколят автентикацията и да получат администраторски права чрез изпращане на специално създадени заявки.

Уязвимостта засяга:

• FortiOS: версии от 7.0.0 до 7.0.16;
• FortiProxy: версии от 7.0.0 до 7.0.19 и 7.2.0 до 7.2.12.

През нея нападателите могат да създават неоторизирани администраторски акаунти, да променят политики на защитната стена или да стартират VPN връзки. Това потенциално води до компрометиране на цялата мрежа.

Fortinet отбелязва, че уязвимостта вече се експлоатира активно, което прави защитата срещу нея неотложна. Затова:

• Незабавно актуализирайте! Инсталирайте последните версии на засегнатите продукти.
• Ограничете достъпа! Забранете административния интерфейс през HTTP/HTTPS или ограничете достъпа само до доверени IP адреси.
• Следете логовете! Търсете необичайна активност като неочаквани административни логини или създаване на нови акаунти.

Fortinet предупреди за вече поправена критична уязвимост в сигурността на Wireless LAN Manager (FortiWLM). Тя позволява разкриването на поверителна информация.

Уязвимостта има CVSS оценка 9,6 от максимална 10,0 и засяга следните версии на продукта:

• FortiWLM версии от 8.6.0 до 8.6.5 (отстранена във версия 8.6.6 или по-нови)
• FortiWLM версии от 8.5.0 до 8.5.4 (отстранена във версия 8.5.5 и по-нови).

В последно време устройствата на компанията се превърнаха в магнит за атаки. Затова потребителите трябва задължително да актуализират своите инстанции до последните налични версии.

ФБР и CISA (Агенцията за киберсигурност и сигурност на инфраструктурата на САЩ) предупреждават, че все още се злоупотребява с Fortinet устройства, които не са своевременно актуализирани.

APT групи могат да използват активно известните уязвимости на Fortinet FortiOS CVE-2018-13379, CVE- 2020-12812 и CVE-2019-5591, за да получат първоначален достъп до множество правителствени, търговски и технологични услуги.

Fortinet препоръчва, ако не използвате най-новата им версия, да посетите Fortinet PSIRT, за да оцените потенциалните рискове.

Уязвимост във Fortinet устройства (CVE 2018-13379) дава възможност за неупълномощен достъп през SSL VPN до системните файлове на FortiOS – предупреждението е на Агенцията за киберсигурност и сигурност на инфраструктурата на САЩ (CISA).

Fortinet публикува насоки за смекчаването на тази уязвимост.

Препоръки:

Призоваваме потребителите и администраторите да се запознаят с насоките и да приложат необходимите актуализации незабавно.

CISA препоръчва още потребителите на Fortinet да прегледат внимателно log-овете във всички свързани мрежи, за наличие на злонамерена дейност.