FBI e CISA alertam sobre APT explorando falha no Fortinet

FBI e CISA alertam sobre APT explorando falha no Fortinet. Hackers podem estar usando falhas para para acesso à redes.

O governo dos EUA está alertando que os atores da Advanced Persistent Threat (APT) estão explorando vulnerabilidades no Fortinet FortiOS em ataques em andamento que visam redes comerciais, governamentais e de serviços de tecnologia.

O aviso, emitido em um comunicado conjunto do FBI e da Cybersecurity and Infrastructure Security Agency (CISA), segue o recente lançamento de patches de segurança que cobrem falhas de segurança graves no produto FortiOS carro-chefe da Fortinet.

As duas agências alertaram que durante o mês passado, agentes de ameaças foram observados visando três vulnerabilidades no Fortinet FortiOS, a saber, CVE-2018-13379 (path traversal vulnerability  no portal da web FortiOS SSL VPN), CVE-2020-12812 (FortiOS SSL VPN 2FA bypass) e CVE-2019-5591 (falta de verificação de identidade do servidor LDAP na configuração padrão).

Até o momento, a atividade observada envolveu apenas a varredura de dispositivos nas portas 4443, 8443 e 10443 para a falha do portal da web FortiOS SSL VPN, bem como a enumeração de dispositivos potencialmente vulneráveis ​​aos outros dois bugs de segurança. No entanto, os ataques podem aumentar inesperadamente.

Atores de APT têm explorado historicamente vulnerabilidades críticas para conduzir ataques distributed denial-of-service (DDoS) attacks, ransomware attacks, structured query language (SQL) injection, campanhas de spearphishing, website defacements, and disinformation campaigns”, de acordo com o  comunicado .

As duas agências também apontam que a atividade recentemente observada em torno dos três Fortinet FortiOS é provavelmente destinada a fornecer aos atores da ameaça acesso às redes de organizações comerciais, governamentais e de serviços de tecnologia.

Os atores da APT podem estar usando qualquer um ou todos esses CVEs para obter acesso a redes em vários setores de infraestrutura crítica para obter acesso a redes importantes como pré-posicionamento para exfiltração de dados ou ataques de criptografia de dados subsequentes”, afirmam a CISA e o FBI .

CVEs adicionais e outras técnicas de exploração comuns também podem ser empregadas em ataques destinados a obter acesso a redes de infraestrutura crítica, observaram as agências.

Mitigação

O FBI recomenda que para mitigar o risco as organizações devem:

  • Corrigir imediatamente os CVEs 2018-13379, 2020-12812 e 2019-5591;
  • Se o FortiOS não for usado por sua organização, adicione os principais arquivos de artefatos usados ​​pelo FortiOS em sua lista de negação de execução (black list) da organização. Qualquer tentativa de instalar ou executar este programa e seu arquivos associados devem ser evitados;
  • Fazer backups regulares de dados, intervalos de segurança e proteja com senha as cópias offline. Garanta que as cópias de dados críticos não são acessíveis para modificação ou exclusão do sistema primário onde os dados residem;
  • Implementar segmentação de rede;
  • Exigir credenciais de administrador para instalar o software;
  • Implementar um plano de recuperação para restaurar dados confidenciais ou proprietários de um local fisicamente separado, local segmentado e seguro (por exemplo, disco rígido, dispositivo de armazenamento, nuvem);
  • Instalar atualizações / patches de sistemas operacionais, software e firmware assim que atualizações / patches são lançados;
  • Usar autenticação multifator sempre que possível;
  • Alterar regularmente as senhas dos sistemas e contas da rede e evite reutilizar as senhas para contas diferentes. Implementar o período de tempo mais curto aceitável para alterações de senha;
  • Desativar as portas não utilizadas de acesso remoto / Remote Desktop Protocol (RDP) e monitorar remotamente logs de acesso / RDP;
  • Auditar contas de usuários com privilégios administrativos e configurar controles de acesso com o mínimo privilégio em mente;
  • Instalar e atualize regularmente o software antivírus e antimalware em todos os hosts;
  • Considerar adicionar um banner de email aos emails recebidos de fora da sua organização;
  • Desativar os hiperlinks nos e-mails recebidos;
  • Focar na conscientização e treinamento. Fornecer aos usuários treinamento em princípios e técnicas de segurança da informação, especialmente sobre como reconhecer e evitar e-mails de phishing;

Posicionamento Fortinet

Após a publicação deste artigo, o Blog Minuto da Segurança recebeu, na tarde de 06 de abril, o posicionamento da Fortinet abaixo:

A segurança dos nossos clientes é a nossa prioridade. A vulnerabilidade CVE-2018-13379 é antiga e foi resolvida em maio de 2019. A Fortinet emitiu imediatamente um aviso PSIRT e se comunicou diretamente com os clientes, além de publicar postagens no blog corporativo em várias ocasiões em agosto de 2019 e julho de 2020, recomendando fortemente uma atualização. Após a resolução, a Fortinet se comunicou consistentemente com os clientes até o final de 2020. O CVE-2019-5591 foi resolvido em julho de 2019 e o CVE-2020-12812 foi resolvido em julho de 2020. Se os clientes ainda não as fizeram, recomendamos que implementem imediatamente a atualização e as mitigações. Para obter mais informações, visite nosso blog e consulte imediatamente o comunicado de maio de 2019.


Fonte: IC3 

Veja também:

 

 

About mindsecblog 1404 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

4 Trackbacks / Pingbacks

  1. Firewall 5 tipos diferentes explicados para você escolher
  2. Fabricante do Android Gigaset injeta malware em celulares
  3. Microsoft lança patches 4 falhas adicionais do Exchange
  4. O que os maiores vazamento de dados de 2021 nos diz sobre Privacidade

Deixe sua opinião!