A Volexity jelzése szerint feltehetően kínai fenyegetettségi szereplők hitelesítő adatok megszerzéséhez aktívan kihasználják a Fortinet FortiClient Windows VPN kliensének egy eddig még nem azonosított sebezhetőségét. A cég 2024 júliusában értesítette a gyártót, azonban a sebezhetőség azóta sincs patchelve.
Amíg a Fortinet nem ad ki biztonsági frissítést, javasolt korlátozni a VPN-hozzáférést, és figyelni a szokatlan bejelentkezéseket.
A szóban forgó sebezhetőség sok hasonlóságot mutat egy 2016-os (szintén nem javított) sérülékenységgel, azonban új hibának tekinthető, mert csak a kliens utóbbi verzióit ─ például v7.4.0-át ─ érinti. A sérülékenység lehetővé teszi, hogy a támadó kinyerje a memóriában tárolt hitelesítő adatokat, amivel azután perzisztenciát alakíthat ki a rendszeren, majd további rendszereket támadhat meg az adott infrastruktúrán.
Attribúció és indikátorok
A Volexity elemzésében a „BrazenBamboo” csoportnak tulajdonítja a megfigyelt támadásokat. A régebbről ismert csoport több malware-t is alkalmaz, ilyen a LightSpy, a DeepPost, valamint a mostani támadásokban kulcsszerepet játszó DeepData.
BrazenBamboo támadáshoz köthető – LightSpy, DeepPost, DeepData, valamint hálózati – IoC-k itt érhetők el.
További Fortinet sérülékenységek
A CISA november 12-én biztonsági közleményt adott ki Fortinet termékek (FortiAnalyzer, FortiAnalyzer-BigData, FortiManager, FortiOS, FortiClientWindows) sérülékenységeiről, amelyekhez már elérhető a biztonsági frissítések.