El FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad dijeron que los piratas informáticos avanzados probablemente estén explotando vulnerabilidades críticas en la VPN de Fortinet FortiOS en un intento de plantar una cabeza de playa para violar empresas medianas y grandes en ataques posteriores.
“Los actores de APT pueden usar estas vulnerabilidades u otras técnicas de explotación comunes para obtener acceso inicial a múltiples servicios gubernamentales, comerciales y tecnológicos”, dijeron las agencias el viernes en un asesoramiento conjunto. “Obtener acceso inicial predispone a los actores de la APT para llevar a cabo futuros ataques”. APT es la abreviatura de amenaza persistente avanzada, un término que se utiliza para describir a los grupos de piratas informáticos bien organizados y financiados, muchos de ellos respaldados por estados nacionales.
Rompiendo la mota
Las VPN SSL de Fortinet FortiOS se utilizan principalmente en firewalls fronterizos, que acordonan las redes internas sensibles de la Internet pública. Dos de las tres vulnerabilidades ya parcheadas enumeradas en el aviso, CVE-2018-13379 y CVE-2020-12812, son particularmente graves porque hacen posible que los piratas informáticos no autenticados roben credenciales y se conecten a VPN que aún no se han actualizado.
“Si las credenciales de VPN también se comparten con otros servicios internos (por ejemplo, si son Active Directory, LDAP o credenciales de inicio de sesión único similares), el atacante obtiene acceso de inmediato a esos servicios con los privilegios del usuario cuyas credenciales fueron robadas. ”, Dijo James Renken, ingeniero de confiabilidad de sitios del Grupo de Investigación de Seguridad de Internet. Renken es una de las dos personas a las que se atribuye el descubrimiento de una tercera vulnerabilidad de FortiOS, CVE-2019-5591, que, según el aviso del viernes, probablemente también estaba siendo explotada. “El atacante puede explorar la red, pivotar para intentar explotar varios servicios internos, etc.”
Uno de los errores de seguridad más graves, CVE-2018-13379, fue encontrado y revelado por los investigadores Orange Tsai y Meh Chang de la firma de seguridad Devcore. Diapositivas
La firma de seguridad Tenable, mientras tanto, dicho que CVE-2020-12812 puede resultar en que un explotador omita la autenticación de dos factores e inicie sesión correctamente.
En una declaración enviada por correo electrónico, Fortinet dijo:
La seguridad de nuestros clientes es nuestra primera prioridad. CVE-2018-13379 es una antigua vulnerabilidad resuelta en mayo de 2019. Fortinet emitió inmediatamente una Aviso de PSIRT y se comunicó directamente con los clientes y a través de publicaciones de blogs corporativos en múltiples ocasiones en Agosto de 2019 y Julio de 2020 Recomiendo encarecidamente una actualización. Tras la resolución, nos hemos comunicado constantemente con los clientes hasta en 2020. CVE-2019-5591 se resolvió en julio de 2019 y CVE-2020-12812 se resolvió en julio de 2020. Para obtener más información, visite nuestro Blog e inmediatamente consulte el Aviso de mayo de 2019. Si los clientes no lo han hecho, los instamos a que implementen de inmediato la actualización y las mitigaciones.
El FBI y CISA no proporcionaron detalles sobre la APT mencionada en el aviso conjunto. El aviso también cubre diciendo que existe una “probabilidad” de que los actores de la amenaza estén explotando activamente las vulnerabilidades.
Parchar las vulnerabilidades requiere que los administradores de TI realicen cambios en la configuración y, a menos que una organización esté usando una red con más de un dispositivo VPN, habrá tiempo de inactividad. Si bien esas barreras suelen ser difíciles en entornos que necesitan que las VPN estén disponibles las 24 horas, el riesgo de verse envuelto en un compromiso de ransomware o espionaje es significativamente mayor.