Новости Злоумышленники продают доступ к сетям, скомпрометированным с помощью уязвимости в ПО от Fortinet

[Пригоршня]

​

Исследователи безопасности из Cyble заметили, что брокеры начального доступа продают доступ к сетям, которые были скомпрометированы с помощью критической уязвимости в продуктах Fortinet. Брешь в защите отслеживается как CVE-2022-40684 и затрагивает FortiOS, FortiProxy и FortiSwitchManager. Подробная информация об уязвимости (в том числе и PoC-эксплойт) стала доступна в начале октября, когда она уже активно использовалась хакерами.

CVE-2022-40684 позволяет хакеру обойти аутентификацию и использовать специально созданные HTTP или HTTPS-запросы для выполнения несанкционированных операций на административном интерфейсе устройства жертвы. По сути, уязвимость предоставляет злоумышленнику административный доступ к SSH на целевом устройстве, позволяя ему обновить или добавить открытый SSH-ключ к устройству и получить над ним полный контроль.

По данным Cyble, более 100 000 брандмауэров FortiGate могут стать мишенью киберпреступников, если не получат исправление. Исследователи Cyble говорит, что уже видели хакеров, предлагающих доступ к сетям, которые, вероятно, были взломаны с помощью CVE-2022-40684.

Проанализировав VPN-доступ к сети, который продавали злоумышленники, эксперты обнаружили, что хакеры пытались добавить свой собственный открытый ключ к учетной записи администратора. Как выяснилось позже, компания-жертва использовала устаревшую версию FortiOS, поэтому и оказалась взломана с помощью CVE-2022-40684.

Отмечается, что уязвимость затрагивает версии FortiOS с 7.0.0 по 7.0.6 и с 7.2.0 по 7.2.1, а также версии FortiProxy с 7.0.0 по 7.0.6 и 7.2.0. Однако исправление уже доступно и находится на сайте Fortinet. Но атаки не прекращаются и продолжаются с 17 октября, сообщает Cyble.