Estás leyendo la publicación: La actualización de seguridad cibernética de Fortinet falla; Día cero explotado por actores de amenazas
Hace una semana, la empresa de seguridad cibernética Fortinet lanzó una actualización de seguridad para corregir una vulnerabilidad de seguridad de alta gravedad CVE-2022-41328, que permite a los actores de amenazas ejecutar comandos o códigos no autorizados.
Bueno, para poner esto en perspectiva, algunos actores de amenazas anónimos utilizaron una vulnerabilidad de día cero para explotar un error en FortiOS que permitió a los atacantes apuntar a gobiernos y grandes organizaciones, lo que en última instancia condujo a la corrupción del sistema operativo, archivos y pérdida de datos.
FortiOS, como su nombre indica, es el sistema operativo de Fortinet, que las empresas utilizan un sistema operativo de seguridad de red. Proporciona protección avanzada contra amenazas con acceso de seguridad unido, seguridad de red y más.
El aviso de falla no mencionó el error que los atacantes explotaron antes de ser parcheados. Aunque un informe publicado por la empresa de seguridad reveló CVE-2022-41328, la falla se utilizó para respaldar y desmantelar múltiples dispositivos de firewall Fortinet FortiGate de uno de sus clientes.
Una limitación inadecuada de un nombre de ruta a una vulnerabilidad de directorio restringido (recorrido de ruta) [cve-22] en FortiOS puede permitir que un atacante privilegiado lea y escriba archivos arbitrarios mediante comandos CLI diseñados”. la firma menciona en su aviso.
Estas son las versiones comprometidas de FortiOS 6.4.0 a 6.4.11 y FortiOS 7.0.0 a 7.0.9, versión 7.2.0 a 7.2.3 y todas las demás versiones de FortiOS 6.0 a 6.2.
Leer: La función de autocompletar de Bitwarden Password Manager es vulnerable al robo de credenciales basado en iframe
Para parchear el exploit, los administradores tuvieron que actualizar la versión 6.4.12 de ForniOS de la empresa de seguridad vulnerable a la versión 7.0.10 de FortinetOS y posteriormente a la versión 7.2.4 y superior de FortiOS.
La firma de seguridad lo descubrió después del apagado del dispositivo comprometido de Fortinet con el sistema entrando en modo de error debido al error FIPS: Mensaje fallido en la autoprueba de integridad del fuego y no se pudo iniciar de nuevo.
La firma menciona que esto sucedió cuando el dispositivo habilitado para FIPS confirma la integridad de los componentes del sistema y está diseñado para apagar y detener el inicio de una violación de la red de bloques si se identifica un exploit.
Los firewalls se explotaron a través de FortiManager en la red de destino, y se observó que todos se detuvieron simultáneamente, lo que significa que fueron pirateados con las mismas tácticas y el exploit de recorrido transversal de FortiGate se lanzó al mismo tiempo que los scripts se ejecutaban a través de FortiManager.
Bueno, la siguiente investigación mostró que los atacantes alteraron la imagen del firmware del dispositivo (/sbin/init) para iniciar una carga útil (/bin/fgfm) antes de que comenzara el proceso de arranque.
El malware permitía la filtración de datos, abriendo shells remotos al recibir un paquete ICPM que tenía la cadena “;7(Zu9YTsA7qQ#vm” o descargando y escribiendo archivos.
La firma de seguridad cibernética menciona que los ataques fueron altamente dirigidos con la prueba de que los actores de amenazas favorecían las redes gubernamentales. Los actores de amenazas mostraron capacidades avanzadas, incluida la ingeniería de reserva del sistema operativo del dispositivo Fortinet.
Los ataques fueron altamente dirigidos, con algunas pruebas de que favorecían al gobierno y a objetivos relacionados con el gobierno, menciona Fortinet.
Los exploits requieren un conocimiento profundo de FortiOS y su hardware. La investigación muestra que los atacantes tenían capacidades avanzadas de ingeniería de reserva en muchas partes del sistema operativo de la empresa de seguridad. Se recomienda a los clientes de Fortinet que actualicen a una versión parcheada para bloquear posibles intentos de ataque.
Leer: Fuga de BidenCash: más de 2 millones de tarjetas de crédito/débito con información personal expuesta
