Nueva vulnerabilidad en FortiOS SSL VPN de Fortinet permite la ejecución remota de código. Tenable ha comentado sobre la explotación de la vulnerabilidad por parte de atacantes patrocinados por estados vinculados a países como Rusia, Irán y China.
Los investigadores de seguridad de Mandiant están rastreando una nueva campaña de ciberataques en los que los atacantes de día cero explotan una vulnerabilidad recientemente revelada en FortiOS SSL VPN de Fortinet, CVE-2022-42475. Descubrir o adquirir una vulnerabilidad de día cero suele ser una tarea costosa, por lo que es sorprendente, pero no inesperado, que un actor de un estado-nación explote una vulnerabilidad de día cero.
Las vulnerabilidades de día cero son costosas
“Desde 2019, hemos visto vulnerabilidades de Citrix, Pulse Secure y Fortinet SSL VPN explotadas por una variedad de atacantes, desde afiliados de ransomware hasta grupos de amenazas persistentes avanzadas (APT) y actores de estados nacionales que trabajan con países como Rusia, Irán y China. estan conectados.
Dado que estos activos son de acceso público, son un objetivo ideal para los ataques. Desde una perspectiva de costos, la inversión en desarrollar o adquirir vulnerabilidades de día cero es ciertamente más alta, mientras que el uso de código de explotación disponible públicamente para vulnerabilidades más antiguas no cuesta nada. Con eso en mente, es sorprendente que un actor estatal con vínculos con China explote una vulnerabilidad de día cero, aunque no es inesperado. Las empresas que utilizan el software SSL VPN deben centrarse en parchear estos dispositivos de manera oportuna para limitar la ventana de oportunidad para los atacantes oportunistas. Al mismo tiempo, deben asegurarse de que exista un sólido programa de respuesta a incidentes de seguridad”, dijo Satnam Narang, ingeniero de investigación del personal de Tenable.
Enfréntate cara a cara con el ataque y el parche
Tres días después de la divulgación pública inicial, Fortinet lanzó el parche CVE-2022-42475 y confirmó que fue explotado en la naturaleza. La falla de seguridad crítica es una vulnerabilidad de desbordamiento de búfer. Esto permite la ejecución remota de código en múltiples versiones de ForiOS utilizadas en SSL VPN y firewalls.
Las VPN SSL de Fortinet han sido un objetivo importante durante años, tanto que en 2021 el FBI y CISA emitieron un aviso especial sobre estas vulnerabilidades y cómo explotarlas. Se sabe que los actores estatales aún explotan estas vulnerabilidades heredadas en las VPN SSL de Fortinet. Dado que esta nueva vulnerabilidad ya se ha explotado, las organizaciones deben parchear CVE-2022-42475 inmediatamente antes de que se una a las filas de otras vulnerabilidades de VPN heredadas.
Más en Tenable.com
Acerca de Tenable Tenable es una empresa de exposición cibernética. Más de 24.000 53 empresas en todo el mundo confían en Tenable para comprender y reducir el riesgo cibernético. Los inventores de Nessus han combinado su experiencia en vulnerabilidades en Tenable.io, entregando la primera plataforma de la industria que brinda visibilidad en tiempo real y asegura cualquier activo en cualquier plataforma informática. La base de clientes de Tenable incluye el 500 por ciento de Fortune 29, el 2000 por ciento de Global XNUMX y grandes agencias gubernamentales.