Тихая атака: Fortinet скрывает 0day в критической инфраструктуре

Fortinet более недели не раскрывает информацию об уязвимости нулевого дня, несмотря на сообщения о том, что злоумышленники используют её для выполнения вредоносного кода на серверах, обслуживающих критическую инфраструктуру.

Компания пока не предоставила публичных уведомлений об уязвимости и не уточнила, какое именно программное обеспечение затронуто. Это соответствует прежней практике Fortinet по молчаливому отношению к уязвимостям нулевого дня (zero-day), которые ранее уже использовались для атак на клиентов. В отсутствие официальных данных, пользователи и специалисты обсуждают проблему в социальных сетях как минимум с 13 октября.

По информации с Reddit, уязвимость затрагивает FortiManager, используемый для управления сетевыми устройствами. Уязвимыми считаются версии:

• 7.6.0 и ниже;
• 7.4.4 и ниже;
• 7.2.7 и ниже;
• 7.0.12 и ниже;
• 6.4.14 и ниже.

Рекомендуется установить обновления до версий 7.6.1, 7.4.5, 7.2.8, 7.0.13 или 6.4.15. Сообщается, что облачная версия FortiManager Cloud также может быть подвержена атаке.

Некоторые администраторы сетей на базе FortiGate сообщили, что получили уведомления с рекомендациями по обновлению. Однако другие пользователи таких уведомлений не получали, а сам Fortinet не выпустил публичного предупреждения и не зарегистрировал уязвимость в базе CVE, затрудняя отслеживание угрозы.

По данным исследователя Кевина Бомонта, проблема связана с настройками по умолчанию в FortiManager, позволяющими регистрировать устройства с неподтверждёнными серийными номерами. В удалённом комментарии на Reddit утверждалось, что ошибка позволяет злоумышленникам украсть сертификат Fortigate, зарегистрировать устройство в FortiManager и получить доступ к сети.

Бомонт пояснил, что хакеры регистрируют поддельные устройства с названиями «localhost» и используют их для выполнения удалённого кода на FortiManager. Такие действия открывают доступ к управлению реальными устройствами, а также к синхронизации конфигураций и данным авторизации.

В другом комментарии обсуждалось, что киберпреступники могут украсть сертификаты для аутентификации и зарегистрировать собственное устройство, чтобы проникнуть в управляемую сеть. Это затрудняет защиту, так как даже устройство с валидным сертификатом может быть использовано для атаки.

Бомонт также предположил, что китайские хакеры могли использовать уязвимость для проникновения в корпоративные сети с начала года. Более 60 000 подключений через FGFM-протокол Fortinet, необходимый для связи между FortiGate и FortiManager, доступны в Интернете, что увеличивает риски.

Протокол позволяет злоумышленникам использовать сертификаты FortiGate для регистрации поддельных устройств, а затем выполнять код на FortiManager. Управляя устройствами через FortiManager, атакующие могут изменять конфигурации, извлекать пароли и проникать в сети конечных пользователей. Дополнительную сложность добавляют проблемы с доступом к порталу поддержки Fortinet, что может быть связано с попытками компании избежать любого упоминания проблем.