FBI e CISA alertam sobre APT explorando falha no Fortinet

06/04/2021 mindsecblog Notícias 4

FBI e CISA alertam sobre APT explorando falha no Fortinet. Hackers podem estar usando falhas para para acesso à redes.

O governo dos EUA está alertando que os atores da Advanced Persistent Threat (APT) estão explorando vulnerabilidades no Fortinet FortiOS em ataques em andamento que visam redes comerciais, governamentais e de serviços de tecnologia.

O aviso, emitido em um comunicado conjunto do FBI e da Cybersecurity and Infrastructure Security Agency (CISA), segue o recente lançamento de patches de segurança que cobrem falhas de segurança graves no produto FortiOS carro-chefe da Fortinet.

As duas agências alertaram que durante o mês passado, agentes de ameaças foram observados visando três vulnerabilidades no Fortinet FortiOS, a saber, CVE-2018-13379 (path traversal vulnerability no portal da web FortiOS SSL VPN), CVE-2020-12812 (FortiOS SSL VPN 2FA bypass) e CVE-2019-5591 (falta de verificação de identidade do servidor LDAP na configuração padrão).

Até o momento, a atividade observada envolveu apenas a varredura de dispositivos nas portas 4443, 8443 e 10443 para a falha do portal da web FortiOS SSL VPN, bem como a enumeração de dispositivos potencialmente vulneráveis aos outros dois bugs de segurança. No entanto, os ataques podem aumentar inesperadamente.

“Atores de APT têm explorado historicamente vulnerabilidades críticas para conduzir ataques distributed denial-of-service (DDoS) attacks, ransomware attacks, structured query language (SQL) injection, campanhas de spearphishing, website defacements, and disinformation campaigns”, de acordo com o comunicado .

As duas agências também apontam que a atividade recentemente observada em torno dos três Fortinet FortiOS é provavelmente destinada a fornecer aos atores da ameaça acesso às redes de organizações comerciais, governamentais e de serviços de tecnologia.

“Os atores da APT podem estar usando qualquer um ou todos esses CVEs para obter acesso a redes em vários setores de infraestrutura crítica para obter acesso a redes importantes como pré-posicionamento para exfiltração de dados ou ataques de criptografia de dados subsequentes”, afirmam a CISA e o FBI .

CVEs adicionais e outras técnicas de exploração comuns também podem ser empregadas em ataques destinados a obter acesso a redes de infraestrutura crítica, observaram as agências.

Mitigação

O FBI recomenda que para mitigar o risco as organizações devem:

Corrigir imediatamente os CVEs 2018-13379, 2020-12812 e 2019-5591;
Se o FortiOS não for usado por sua organização, adicione os principais arquivos de artefatos usados pelo FortiOS em sua lista de negação de execução (black list) da organização. Qualquer tentativa de instalar ou executar este programa e seu arquivos associados devem ser evitados;
Fazer backups regulares de dados, intervalos de segurança e proteja com senha as cópias offline. Garanta que as cópias de dados críticos não são acessíveis para modificação ou exclusão do sistema primário onde os dados residem;
Implementar segmentação de rede;
Exigir credenciais de administrador para instalar o software;
Implementar um plano de recuperação para restaurar dados confidenciais ou proprietários de um local fisicamente separado, local segmentado e seguro (por exemplo, disco rígido, dispositivo de armazenamento, nuvem);
Instalar atualizações / patches de sistemas operacionais, software e firmware assim que atualizações / patches são lançados;
Usar autenticação multifator sempre que possível;
Alterar regularmente as senhas dos sistemas e contas da rede e evite reutilizar as senhas para contas diferentes. Implementar o período de tempo mais curto aceitável para alterações de senha;
Desativar as portas não utilizadas de acesso remoto / Remote Desktop Protocol (RDP) e monitorar remotamente logs de acesso / RDP;
Auditar contas de usuários com privilégios administrativos e configurar controles de acesso com o mínimo privilégio em mente;
Instalar e atualize regularmente o software antivírus e antimalware em todos os hosts;
Considerar adicionar um banner de email aos emails recebidos de fora da sua organização;
Desativar os hiperlinks nos e-mails recebidos;
Focar na conscientização e treinamento. Fornecer aos usuários treinamento em princípios e técnicas de segurança da informação, especialmente sobre como reconhecer e evitar e-mails de phishing;

Posicionamento Fortinet

Após a publicação deste artigo, o Blog Minuto da Segurança recebeu, na tarde de 06 de abril, o posicionamento da Fortinet abaixo:

“A segurança dos nossos clientes é a nossa prioridade. A vulnerabilidade CVE-2018-13379 é antiga e foi resolvida em maio de 2019. A Fortinet emitiu imediatamente um aviso PSIRT e se comunicou diretamente com os clientes, além de publicar postagens no blog corporativo em várias ocasiões em agosto de 2019 e julho de 2020, recomendando fortemente uma atualização. Após a resolução, a Fortinet se comunicou consistentemente com os clientes até o final de 2020. O CVE-2019-5591 foi resolvido em julho de 2019 e o CVE-2020-12812 foi resolvido em julho de 2020. Se os clientes ainda não as fizeram, recomendamos que implementem imediatamente a atualização e as mitigações. Para obter mais informações, visite nosso blog e consulte imediatamente o comunicado de maio de 2019.”