Η CISA προειδοποιεί για τους ευάλωτους κωδικούς πρόσβασης Fortinet VPN
Ο Οργανισμός Ασφάλειας Κυβερνοασφάλειας και Υποδομής των Ηνωμένων Πολιτειών (CISA) εξέδωσε προειδοποίηση σχετικά με διαρρεύσει κωδικούς πρόσβασης που θα μπορούσαν ενδεχομένως να επηρεάσουν τα Fortinet VPN.
Η αμερικανική κρατική υπηρεσία εξέδωσε την επίσημη προειδοποίησή της στα τέλη Νοεμβρίου 2020. Η αντίδραση ήρθε σε απάντηση σε γνωστούς απειλητικούς ηθοποιούς που δημοσίευσαν αξιώσεις διαρροής κωδικού πρόσβασης σε υπόγεια φόρουμ χάκερ.
Η CISA δεν έκανε σχόλια σχετικά με το αν οι διαρροές κωδικού πρόσβασης είναι αυθεντικές ή όχι, αλλά εξέδωσε προειδοποίηση σε όσους χρησιμοποιούν την πλατφόρμα της Fortinet. Η εταιρεία με έδρα την Καλιφόρνια έχει εκδώσει επίσημη καθοδήγηση στους πελάτες της και η CISA το επαναλαμβάνει, επισημαίνοντας την ανάγκη για άμεσες ενημερώσεις που θα αντιμετωπίσουν την εν λόγω ευπάθεια.
Το FortiOS είχε αυτήν την ευπάθεια για λίγο και έχει κωδικοποιηθεί ως CVE 2018-13379. Ωστόσο, έχει αντιμετωπιστεί και οι χρήστες πρέπει απλώς να εφαρμόσουν τις σχετικές ενημερώσεις.
Ο κακός ηθοποιός που ισχυριζόταν ότι είχε πρόσβαση σε διαπιστευτήρια σύνδεσης χρηστών του Fortinet βασίζονταν επίσης στις αξιώσεις τους στην ίδια ευπάθεια. Η οντότητα που χρησιμοποιεί τη λαβή «pumpedupkicks» δημοσίευσε μια λίστα με σχεδόν 50.000 IP που φέρεται να είναι ευάλωτα στο CVE 2018-13379 και επίσης ισχυρίστηκε ότι είχαν διαπιστευτήρια απλού κειμένου για αυτούς τους λογαριασμούς.
Εκτός αν οι επηρεαζόμενοι χρήστες επιδιορθώσουν τα VPN τους για να αντιμετωπίσουν την ευπάθεια, υπάρχει ένας πολύ πραγματικός κίνδυνος επιθέσεων με χρήση διαρροών IP και διαπιστευτηρίων.
Η κατάσταση επεκτάθηκε στην προσοχή του οργανισμού επειδή υπήρχαν δεδομένα απειλητικών φορέων που δένουν πολλές ευπάθειες, συμπεριλαμβανομένης αυτής που αναφέρθηκε παραπάνω, για να επιτεθούν σε δίκτυα στο έδαφος των ΗΠΑ.
Το καλοκαίρι του 2020, ο Fortinet αποκάλυψε επίσης ότι το CVE 2018-13379 εκμεταλλεύτηκε τον APT29 - έναν προηγμένο επίμονο παράγοντα απειλής που πιστεύεται ότι προέρχεται από τη Ρωσία - για να κλέψει πληροφορίες που σχετίζονται με τη συνεχιζόμενη ανάπτυξη εμβολίων Covid-19 από ιδρύματα στις ΗΠΑ, το Ηνωμένο Βασίλειο και Καναδάς.
