Нова вразливість у FortiOS SSL VPN Fortinet дозволяє віддалено виконувати код. Tenable прокоментував використання вразливості державними зловмисниками, пов’язаними з такими країнами, як Росія, Іран і Китай.
Дослідники безпеки Mandiant відстежують нову кампанію кібератак, під час якої зловмисники використовують нещодавно виявлену вразливість у FortiOS SSL VPN Fortinet, CVE-2022-42475. Виявлення або отримання вразливості нульового дня зазвичай є дорогим заходом, тому несподівано, але не несподівано, що суб’єкт національної держави використовує вразливість нульового дня.
Уразливості нульового дня коштують дорого
«З 2019 року ми спостерігаємо, як уразливості Citrix, Pulse Secure і Fortinet SSL VPN використовують різноманітні зловмисники, від афілійованих програм-вимагачів до груп прогресивних постійних загроз (APT) і державних акторів, які працюють з такими країнами, як Росія, Іран і Китай. підключені.
Оскільки ці активи є загальнодоступними, вони є ідеальною мішенню для атак. З точки зору вартості, інвестиції в розробку або придбання вразливостей нульового дня, безумовно, вищі, тоді як використання загальнодоступного коду експлойту для старіших уразливостей не коштує нічого. Зважаючи на це, дивно, що державний актор, який має зв’язки з Китаєм, скористається вразливістю нульового дня, хоча й несподіваною. Компанії, які використовують програмне забезпечення SSL VPN, повинні зосередитися на своєчасному виправленні цих пристроїв, щоб обмежити вікно можливостей для опортуністичних зловмисників. У той же час вони повинні забезпечити наявність надійної програми реагування на інциденти безпеки», — сказав Сатнам Наранг, штатний інженер-дослідник Tenable.
Ідіть один до одного з атакою та латкою
Через три дні після первинного оприлюднення Fortinet випустила патч CVE-2022-42475 і підтвердила, що його використовували в дикій природі. Критичною вадою безпеки є вразливість переповнення буфера. Це дозволяє віддалено виконувати код у кількох версіях ForiOS, які використовуються в SSL VPN і брандмауерах.
Віртуальні приватні мережі Fortinet SSL були важливою мішенню протягом багатьох років — настільки, що у 2021 році ФБР і CISA випустили спеціальні рекомендації щодо цих вразливостей і способів їх використання. Відомо, що державні суб’єкти все ще використовують ці застарілі вразливості в VPN-провайдерах Fortinet SSL. Оскільки цю нову вразливість уже використовували, організаціям слід негайно виправити CVE-2022-42475, перш ніж вона приєднається до рядів інших застарілих уразливостей VPN.
Більше на Tenable.com
Про Tenable Tenable є компанією Cyber Exposure. Понад 24.000 53 компаній у всьому світі довіряють Tenable розуміти та зменшувати кіберризики. Винахідники Nessus об’єднали свої знання з уразливостей у Tenable.io, створивши першу в галузі платформу, яка забезпечує видимість у реальному часі та захищає будь-які активи на будь-якій обчислювальній платформі. Клієнтська база Tenable включає 500 відсотки Fortune 29, 2000 відсотків Global XNUMX і великі державні установи.