La nuova vulnerabilità nella FortiOS SSL VPN di Fortinet consente l'esecuzione di codice in modalità remota. Tenable ha commentato lo sfruttamento della vulnerabilità da parte di aggressori sponsorizzati dallo stato collegati a paesi come Russia, Iran e Cina.
I ricercatori di sicurezza di Mandiant stanno monitorando una nuova campagna di attacchi informatici in cui gli aggressori zero-day sfruttano una vulnerabilità recentemente divulgata nella FortiOS SSL VPN di Fortinet, CVE-2022-42475. Scoprire o procurarsi una vulnerabilità zero-day è in genere uno sforzo costoso, quindi è sorprendente ma non inaspettato per un attore di stato-nazione sfruttare una vulnerabilità zero-day.
Le vulnerabilità zero-day sono costose
“Dal 2019, abbiamo visto le vulnerabilità di Citrix, Pulse Secure e Fortinet SSL VPN sfruttate da una varietà di aggressori, da affiliati ransomware a gruppi di minacce persistenti avanzate (APT) e attori di stati nazionali che lavorano con paesi come Russia, Iran e Cina sono collegati.
Poiché queste risorse sono accessibili pubblicamente, sono un obiettivo ideale per gli attacchi. Dal punto di vista dei costi, l'investimento nello sviluppo o nell'approvvigionamento di vulnerabilità zero-day è sicuramente più elevato, mentre l'utilizzo di codice exploit disponibile pubblicamente per vulnerabilità meno recenti non costa nulla. Con questo in mente, è sorprendente che un attore statale con legami con la Cina sfrutti una vulnerabilità zero-day, anche se non inaspettata. Le aziende che utilizzano il software SSL VPN dovrebbero concentrarsi sull'applicazione di patch a questi dispositivi in modo tempestivo per limitare la finestra di opportunità per gli aggressori opportunisti. Allo stesso tempo, dovrebbero garantire che sia in atto un solido programma di risposta agli incidenti di sicurezza ", ha affermato Satnam Narang, ingegnere di ricerca del personale presso Tenable.
Vai testa a testa con attacco e patch
Tre giorni dopo la divulgazione pubblica iniziale, Fortinet ha rilasciato la patch CVE-2022-42475 e ha confermato che è stata sfruttata in natura. Il difetto di sicurezza critico è una vulnerabilità di overflow del buffer. Ciò consente l'esecuzione di codice in modalità remota in più versioni di ForiOS utilizzate nelle VPN SSL e nei firewall.
Le VPN SSL Fortinet sono state per anni un obiettivo importante, tanto che nel 2021 FBI e CISA hanno emesso un avviso speciale su queste vulnerabilità e su come sfruttarle. È noto che gli attori statali sfruttano ancora queste vulnerabilità legacy nelle VPN SSL Fortinet. Poiché questa nuova vulnerabilità è già stata sfruttata, le organizzazioni dovrebbero correggere CVE-2022-42475 immediatamente prima che si unisca ai ranghi di altre vulnerabilità VPN legacy.
Altro su Tenable.com
A proposito di Tenable Tenable è una società di esposizione informatica. Oltre 24.000 aziende in tutto il mondo si affidano a Tenable per comprendere e ridurre il rischio informatico. Gli inventori di Nessus hanno unito la loro esperienza in materia di vulnerabilità in Tenable.io, offrendo la prima piattaforma del settore che fornisce visibilità in tempo reale e protegge qualsiasi risorsa su qualsiasi piattaforma informatica. La base di clienti di Tenable comprende il 53% di Fortune 500, il 29% di Global 2000 e grandi agenzie governative.