Fortinet VPN-ek elleni támadást azonosított a Volexity

A Volexity jelzése szerint feltehetően kínai fenyegetettségi szereplők hitelesítő adatok megszerzéséhez aktívan kihasználják a Fortinet FortiClient Windows VPN kliensének egy eddig még nem azonosított sebezhetőségét. A cég 2024 júliusában értesítette a gyártót, azonban a sebezhetőség azóta sincs patchelve.

Amíg a Fortinet nem ad ki biztonsági frissítést, javasolt korlátozni a VPN-hozzáférést, és figyelni a szokatlan bejelentkezéseket.

A szóban forgó sebezhetőség sok hasonlóságot mutat egy 2016-os (szintén nem javított) sérülékenységgel, azonban új hibának tekinthető, mert csak a kliens utóbbi verzióit ─ például v7.4.0-át ─ érinti. A sérülékenység lehetővé teszi, hogy a támadó kinyerje a memóriában tárolt hitelesítő adatokat, amivel azután perzisztenciát alakíthat ki a rendszeren, majd további rendszereket támadhat meg az adott infrastruktúrán.

Attribúció és indikátorok

A Volexity elemzésében a „BrazenBamboo” csoportnak tulajdonítja a megfigyelt támadásokat. A régebbről ismert csoport több malware-t is alkalmaz, ilyen a LightSpy, a DeepPost, valamint a mostani támadásokban kulcsszerepet játszó DeepData.

BrazenBamboo támadáshoz köthető – LightSpy, DeepPost, DeepData, valamint hálózati – IoC-k itt érhetők el.

További Fortinet sérülékenységek

A CISA november 12-én biztonsági közleményt adott ki Fortinet termékek (FortiAnalyzer, FortiAnalyzer-BigData, FortiManager, FortiOS, FortiClientWindows) sérülékenységeiről, amelyekhez már elérhető a biztonsági frissítések.

(bleepingcomputer.com)