0
0
FBI e CISA advertem administradores e usuários que grupos de cibercriminosos apoiados por governos estão tentando explorar falhas nos servidores da marca
O FBI e a Agência de Segurança Cibernética e de Infraestrutura (CISA) dos Estados Unidos alertam sobre atividades de grupos de ameaças persistentes avançadas (APTs) que têm como alvo servidores Fortinet FortiOS, usando vários exploits.
As agências advertem administradores e usuários dos servidores Fortinet FortiOS que grupos de hackers patrocinados por governos estão enumerando servidores com falhas não corrigidas (registradas como CVE-2020-12812 e CVE-2019-5591) e verificando dispositivos vulneráveis (CVE-2018-13379) nas portas 4443, 8443 e 10443.
Segundo consultores do FBI e da CISA, servidores comprometidos podem ser usados em ataques. Os grupos de APT podem explorar bugs de segurança no futuro para violar as redes de serviços governamentais, comerciais e de tecnologia. Depois de conseguir se infiltrar nas redes, eles podem usar esse acesso inicial para ataques futuros.
“Os grupos APT podem estar usando qualquer um ou todas essas vulnerabilidades e exposições comuns para obter acesso a redes em vários setores de infraestrutura crítica como pré-posicionamento para exfiltração de dados ou ataques de criptografia de dados”, afirmam os consultores. “Grupos de APT podem usar outros CVEs ou técnicas de exploração comuns, como spear phishing, para obter acesso a redes de infraestrutura crítica para se preparar para ataques subsequentes.”
Segundo os especialistas, grupos de APT historicamente exploraram vulnerabilidades críticas para conduzir ataques distribuídos de negação de serviço (DDoS), ataques de ransomware, ataques de injeção de linguagem de consulta estruturada (SQL), campanhas de spear phishing, desconfiguração de sites e campanhas de desinformação.
O FBI e a CISA também compartilharam medidas de mitigação para bloquear as tentativas de comprometimento desses ataques em andamento.
Em novembro do ano passado, um operador de ameaça compartilhou uma lista de exploits CVE-2018-13379 da linha de produto Fortinet FortiOS Secure Socket Layer (SSL) VPN que poderiam ser usados para roubar credenciais VPN de quase 50 mil servidores Fortinet VPN, incluindo governos e bancos. A vulnerabilidade também foi usada para tentar comprometer os sistemas de apoio eleitoral dos EUA acessíveis pela internet.
Antes, em setembro, a Microsoft alertou sobre hackers russos, chineses e iranianos de grupos de APT visando as eleições de 2020 nos EUA.
A Fortinet no Brasil procurou este noticiário, por meio de sua assessoria de imprensa, e enviou o seguinte comunicado:
“A segurança dos nossos clientes é a nossa prioridade. A vulnerabilidade CVE-2018-13379 é antiga e foi resolvida em maio de 2019. A Fortinet emitiu imediatamente um aviso PSIRT e se comunicou diretamente com os clientes, além de publicar postagens no blog corporativo em várias ocasiões em agosto de 2019 e julho de 2020, recomendando fortemente uma atualização. Após a resolução, a Fortinet se comunicou consistentemente com os clientes até o final de 2020. O CVE-2019-5591 foi resolvido em julho de 2019 e o CVE-2020-12812 foi resolvido em julho de 2020. Se os clientes ainda não as fizeram, recomendamos que implementem imediatamente a atualização e as mitigações. Para obter mais informações, visite nosso blog e consulte imediatamente o comunicado de maio de 2019.”
FONTE: CISO ADVISOR