Все устройства подвержены известной и уже исправленной уязвимости обхода каталога в Fortinet FortiOS SSL VPN (CVE-2018-13379).
Аналитик безопасности Bank_Security наткнулся на одном из хакерских форумов на ветку обсуждения, в которой некто под псевдонимом pumpedkicks опубликовал список IP-адресов 49 577 организаций с уязвимыми VPN-устройствами Fortinet. По словам хакера, в его распоряжении также имеются связанные с этими IP-адресами незашифрованные учетные данные. Помимо прочих, в список потенциальных целей входят домены, принадлежащие крупным банкам и правительственным организациям по всему миру.
Все устройства подвержены известной и уже исправленной производителем уязвимости обхода каталога в Fortinet FortiOS SSL VPN ( CVE-2018-13379 ). С ее помощью неавторизованный удаленный злоумышленник может путем отправки особым образом сконфигурированного HTTP-запроса получить доступ к системным файлам. Опубликованный на хакерском форуме эксплоит позволяет получить доступ к файлам sslvpn_websession в Fortinet FortiOS VPN и похитить учетные данные, с помощью которых затем можно скомпрометировать корпоративную сеть и, например, развернуть в ней вымогательское ПО.
Из почти 50 тыс. уязвимых устройств порядка полусотни принадлежат авторитетным финансовым организациям и правительственным учреждениям.
«Чтобы лучше узнать, какие компании были затронуты, я запустил nslookup для всех IP-адресов в списке, и для многих из них я нашел связанный домен», - сообщил Bank_Security порталу BleepingComputer.
Затем аналитик уточнил полученные результаты и определил доменные имена, связанные с интересующими организациями и известными банками. Хотя уязвимость давно известна и проста в эксплуатации, процесс развертывания обновлений в организациях проходит очень медленно, поэтому хакеры продолжают использовать известные уязвимости в своих атаках.
«Это старая, хорошо известная и легко используемая уязвимость. Злоумышленники уже давно ее эксплуатируют. К сожалению, у компаний очень медленный процесс установки исправлений или неконтролируемый периметр доступа через интернет, и поэтому злоумышленники могут эксплуатировать уязвимости для относительно простой компрометации компаний в любой отрасли», - отметил аналитик.
Как сообщалось в прошлом месяце, уязвимость CVE-2018-13379 эксплуатировалась киберпреступниками в атаках на правительственные системы поддержки выборов в США.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках